Hackeri používajú falošné Trumpovo škandálne video na šírenie škodlivého softvéru QNode

Výskumníci v oblasti kybesnetickej bezpečnosti dnes odhalili novú kampaň so škodlivým spamom, ktorá distribuuje trójskeho koňa na diaľku (RAT) tým, že údajne obsahuje video so sexuálnym škandálom amerického prezidenta Donalda Trumpa.

K e-mailom s predmetom „DOBRÁ PONUKA PÔŽIČKY!!“ je priložený archívny súbor Java (JAR) s názvom „TRUMP_SEX_SCANDAL_VIDEO.jar“, ktorý po stiahnutí nainštaluje Qua alebo Quaverse RAT (QRAT) na infiltrované systém.

“Máme podozrenie, že zlí ľudia sa pokúšajú riadiť šialenstvo vyvolané nedávno skončenými prezidentskými voľbami, pretože názov súboru, ktorý použili v prílohe, vôbec nesúvisí s témou e-mailu,” uviedla vedúca bezpečnostná výskumníčka Trustwave Diana Loperaová. zverejnené dnes.

Najnovšia kampaň je variantom Windows-založený QRAT downloader Trustwave výskumníci objavili v auguste.

Infekčný reťazec sa začína nevyžiadanou správou obsahujúcou vloženú prílohu alebo odkaz smerujúci na škodlivý súbor zip, pričom každý z nich načíta súbor JAR (“Spec#0034.jar”), ktorý je zakódovaný pomocou Allatori Java obfuscator.

Tento sťahovač prvej fázy nastaví platformu Node.Js do systému a potom stiahne a spustí sťahovač druhej fázy s názvom „wizard.js“, ktorý je zodpovedný za dosiahnutie trvalosti a načítanie a spustenie Qnode RAT („qnode-win32-ia32. js”) zo servera kontrolovaného útočníkom.

QRAT je typický trójsky kôň so vzdialeným prístupom s rôznymi funkciami vrátane získavania systémových informácií, vykonávania operácií so súbormi a získavania poverení z aplikácií, ako sú Google Chrome, Firefox, Thunderbird a Microsoft Outlook.

Čo sa tentokrát zmenilo, je zahrnutie nového pop-up upozornenia, ktoré obeť informuje, že spustený JAR je softvér na vzdialený prístup používaný na penetračné testovanie. To tiež znamená, že škodlivé správanie vzorky sa začne prejavovať až vtedy, keď používateľ klikne na „OK, viem, čo robím“. tlačidlo.

“Toto vyskakovacie okno je trochu zvláštne a možno ide o pokus, aby aplikácia vyzerala legitímne, alebo o odvrátenie zodpovednosti od pôvodných autorov softvéru,” poznamenal Lopera.

Okrem toho je škodlivý kód sťahovača JAR rozdelený do rôznych náhodne očíslovaných vyrovnávacích pamätí v snahe vyhnúť sa detekcii.

Medzi ďalšie zmeny patrí celkové zvýšenie veľkosti súboru JAR a vylúčenie sťahovania druhej fázy v prospech aktualizovaného reťazca malvéru, ktorý okamžite načíta obsah QRAT, ktorý sa teraz nazýva „boot.js“.

RAT dostal svoj vlastný podiel aktualizácií, pričom kód je teraz šifrovaný pomocou kódovania base64, okrem toho, že sa stará o zotrvanie v cieľovom systéme prostredníctvom skriptu VBS.

„Táto hrozba sa za posledných pár mesiacov, odkedy sme ju prvýkrát preskúmali, výrazne zvýšila,“ uzavrel Topera a vyzval správcov, aby zablokovali prichádzajúce JAR vo svojich e-mailových bezpečnostných bránach.

„Zatiaľ čo užitočné zaťaženie príloh má oproti predchádzajúcim verziám určité vylepšenia, samotná e-mailová kampaň bola skôr amatérska a veríme, že šanca, že táto hrozba bude úspešne doručená, je vyššia, ak by bol e-mail sofistikovanejší.“