Útočníci šíří malware QNode prostřednictvím fiktivního skandálního videa s Trumpem
Zpět na blogKyberbezpečnostní specialisté upozornili na novou malspamovou kampaň, která distribuuje RAT (remote access trojan) tím, že láká na skandální video amerického prezidenta Donalda Trumpa. Podle vyjádření oborníků na bezpečnost ze společnosti Trustwave se útočníci pokoušejí využít rozbouřené situace související s nedávnými prezidentskými volbami.
Odhalená kampaň je variantou QRATu určeného pro zařízení s Windows, na který společnost Trustwave upozornila v srpnu. Infekční řetězec začíná spamovým mailem s přílohou nebo odkazem na škodlivý soubor, z nichž se načte JAR soubor, který je kódován pomocí obfuskátoru Java Allatori. QRAT je typický trojan pro vzdálený přístup – umí vytáhnout systémové informace, provádět operace se soubory a získávat přihlašovací údaje z aplikací, jako je Google Chrome, Firefox, Thunderbird a Microsoft Outlook.
E-maily, které jsou rozesílány s poměrně obligátním spamovým předmětem „Good loan offer“, obsahují přílohu s javovým archivem (JAR) „TRUMP_SEX_SCANDAL_VIDEO.jar“. Po otevření souboru se do systému nainstaluje Qua nebo Quaverse RAT (QRAT).
V první fázi downloader v systému nastaví platformu Node.Js, následně stáhne a spustí další downloader nazvaný „wizard.js“, který zajistí persistenci a načte a poté spustí Qnode RAT („qnode-win32-ia32.js“) ze serveru ovládaného útočníkem.
Škodlivý kód stahovače JAR je rozdělen do různých náhodně očíslovaných vyrovnávacích pamětí ve snaze vyhnout se detekci. Mezi další změny patří celkové zvětšení velikosti souborů JAR a eliminace druhého stahovače ve prospěch aktualizovaného řetězce malwaru, který okamžitě přinese QRATu payload nazvaný „boot.js“.
Pokud jde o RAT, ten se také dočkal aktualizací, přičemž kód je nyní zašifrován kódováním base64, a navíc dokáže se udržet v cílovém systému prostřednictvím VBS skriptu.
Podle oborníků z Trustwave je vidět, jak během několika měsíců útočníci na malwaru zapracovali a stal se sofistikovanějším a nebezpečnějším. Nicméně dodávají, že zatímco příloha má oproti předchozím verzím značná vylepšení, samotná e-mailová kampaň zůstává poměrně amatérská a je na první pohled dobře identifikovatelná jako hrozba i pro průměrně vyškoleného zaměstnance.
Zdroj: The Hacker News
11. 1. 2021