【安全资讯】Quantum Builder使用新的TTP交付Agent Tesla

Quantum Builder是一种可定制的工具，用于生成恶意快捷方式文件以及 HTA、ISO 和 PowerShell 有效负载，以在目标机器上交付下一阶段的恶意软件。研究人员发现，攻击者正在使用“Quantum Builder”构建器，提供Agent Tesla远程访问木马。多阶段攻击链从包含 GZIP 存档附件的鱼叉式网络钓鱼邮件开始，该附件包含一个快捷方式，旨在执行负责使用MSHTA启动远程 HTML 应用程序 (HTA) 的 PowerShell 代码。HTA文件解密并执行另一个 PowerShell 加载程序脚本，该脚本充当下载器，用于获取 Agent Tesla 恶意软件并以管理权限执行。感染链如下：