Vendido na Deep Web por € 189 por mês, o Quantum Builder é uma ferramenta personalizável para gerar arquivos de atalho maliciosos, bem como cargas HTA, ISO e PowerShell para entregar e distribuir malware de próximo estágio nos hosts visados, neste caso o Agent Tesla.

A cadeia de ataque em vários estágios começa com um spear-phishing contendo um anexo de arquivo GZIP que inclui um atalho projetado para executar o código do PowerShell responsável por iniciar um aplicativo HTML remoto (HTA) usando MSHTA.

Os e-mails de phishing pretendem ser uma mensagem de confirmação de pedido de um fornecedor de açúcar mascavo, com o arquivo LNK disfarçado como um documento PDF.

O arquivo HTA, por sua vez, descriptografa e executa outro script de carregador do PowerShell, que atua como um downloader para buscar o malware Agent Tesla e executá-lo com privilégios administrativos.

O Quantum Builder está sendo usado nos últimos meses por agentes de ameaças com o objetivo distribuir uma variedade de malware, como RedLine Stealer, IcedID, GuLoader, RemcosRAT e AsyncRAT.

Esta campanha do Agent Tesla é a mais recente de uma série de ataques em que o Quantum Builder foi usado para criar cargas maliciosas em campanhas contra várias organizações.