攻击者利用Quantum Builder来分发Agent Tesla

Zscaler在9月27日披露了攻击者利用Quantum Builder分发远程访问木马Agent Tesla的活动。Quantum Builder是一种可定制的工具，在暗网以每月189欧元的价格出售，可用于生成恶意快捷方式文件以及HTA、ISO和PowerShell payload。攻击使用的钓鱼邮件声称是来自中国块糖和冰糖供应商的订单确认信息，其中的LNK文件伪装成PDF文档。执行LNK后，嵌入式PowerShell代码会生成MSHTA，然后执行托管在远程服务器上的HTA文件，最终下载并执行Agent Tesla二进制文件。