Κυριακή, 21 Φεβρουαρίου, 06:37
Αρχική security Fake βίντεο σεξουαλικού σκανδάλου με τον Τραμπ διανέμει το QNode RAT

Fake βίντεο σεξουαλικού σκανδάλου με τον Τραμπ διανέμει το QNode RAT

Ερευνητές ασφαλείας της Trustwave ανακάλυψαν μια malspam εκστρατεία που διανέμει το trojan απομακρυσμένης πρόσβασης QNode (RAT), χρησιμοποιώντας ως «δόλωμα» ένα fake βίντεο σεξουαλικού σκανδάλου με τον Τραμπ.

Όπως αναφέρει το Security Affairs, τα spam emails χρησιμοποιούν το θέμα “ΚΑΛΗ ΠΡΟΣΦΟΡΑ ΔΑΝΕΙΟΥ !!”, ενώ έχουν συνημμένο ένα αρχείο Java Archive (JAR) με την ονομασία “TRUMP_SEX_SCANDAL_VIDEO.jar”. Κατά την εκτέλεση του συνημμένου, ο κακόβουλος κώδικας προσπαθεί να εγκαταστήσει το Qnode RAT στο μηχάνημα του παραλήπτη.

spam εκστρατεία

Οι ερευνητές ανέφεραν σε σχετική τους δήλωση τα ακόλουθα: «Κατά τον έλεγχο των παγίδων spam, μια συγκεκριμένη εκστρατεία τράβηξε το ενδιαφέρον μας, κυρίως επειδή το όνομα του συνημμένου αρχείου στο email δεν συμπίπτει με το θέμα που αναφέρεται στο σώμα του. Υποψιαζόμαστε ότι κακόβουλοι παράγοντες προσπαθούν να συνεχίσουν τη φρενίτιδα που προκλήθηκε από τις πρόσφατες προεδρικές εκλογές, με το όνομα του αρχείου που χρησιμοποίησαν στο συνημμένο να μην έχει καμία σχέση με το θέμα του email».

Το πρόγραμμα λήψης που διανέμεται σε αυτήν την malspam εκστρατεία, η οποία χρησιμοποιεί ως «δόλωμα» το fake βίντεο σεξουαλικού σκανδάλου με τον Τραμπ, φαίνεται να είναι μια παραλλαγή του προγράμματος λήψης QRAT που ανακαλύφθηκε από τους ερευνητές της Trustwave τον περασμένο Αύγουστο. Επιπλέον, οι ερευνητές υπογράμμισαν κάποιες ομοιότητές του με παλαιότερες παραλλαγές, όπως η απόκρυψη του αρχείου JAR με το Allatori Obfuscator, η υποστήριξη μόνο για λειτουργικό σύστημα Windows και το γεγονός ότι το installer του Node.Js ανακτήθηκε από το επίσημο site nodejs.org.

Η παραλλαγή QRAT συνεχίζει να έχει προγράμματα λήψης πολλαπλών σταδίων. Το πρώτο πρόγραμμα λήψης είναι το αρχείο JAR που χρησιμοποιείται ως συνημμένο στο spam email. Όπως περιγράφεται λεπτομερώς στην έκθεση του Αυγούστου που δημοσίευσε η Trustwave, ο πρώτος χρήστης έχει δύο σημαντικές εργασίες – πρώτα εγκαθιστά την πλατφόρμα Node.Js στο σύστημα και, στη συνέχεια, κατεβάζει και εκτελεί το πρόγραμμα λήψης δεύτερου σταδίου. Το πρόγραμμα λήψης δεύτερου σταδίου που ονομάζεται “wizard.js” εκτελεί το Qnode RAT από έναν command-and-control (C2) server, προσπαθώντας να επιτύχει επιμονή στο μολυσμένο σύστημα.

Fake βίντεο σεξουαλικού σκανδάλου με τον Τραμπ διανέμει το QNode RAT

Η νέα παραλλαγή που χρησιμοποιείται στην εν λόγω εκστρατεία έχει τα ακόλουθα χαρακτηριστικά:

  • Το δείγμα JAR είναι σημαντικά μεγαλύτερο από αυτό που χρησιμοποιήθηκε σε προηγούμενες εκστρατείες
  • Οι χάκερς που βρίσκονται πίσω από αυτήν την εκστρατεία πρόσθεσαν ένα GUI και μια υποτιθέμενη άδεια Microsoft ISC στον κώδικα του JAR
  • Αυτή η παραλλαγή δεν χρησιμοποιεί τη συμβολοσειρά “qnodejs” για να αποφύγει τον εντοπισμό και το downloader code χωρίστηκε σε διαφορετικά buffers μέσα στο JAR
  • Κατά τη λήψη του malware επόμενου σταδίου, απαιτείται μόνο το όρισμα “–hub-domain” κατά την επικοινωνία με τους command-and-control servers
  • Το αρχείο JAR κατεβάζει ένα αρχείο με την ονομασία “boot.js” και το αποθηκεύει στο % temp% \ _ qhub_node_{random}

Επιπλέον, το QRAT υποστηρίζει πολλές δυνατότητες RAT, όπως η λήψη πληροφοριών συστήματος, η εκτέλεση λειτουργιών αρχείων και η απόκτηση credentials εφαρμογών. Τέλος, αυτή η παραλλαγή υποστηρίζει πολλές εφαρμογές, συμπεριλαμβανομένων των Chrome, Firefox, Thunderbird και Outlook.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...

Οι δωροκάρτες του Xbox πωλούνται με έκπτωση 10% στο Amazon

Οι κάτοχοι των Xbox μπορούν να εξοικονομήσουν λίγα χρήματα σε παιχνίδια, add-ons, συνδρομές και πολλά άλλα, αν ψωνίσουν τις δωροκάρτες Xbox στο...

Perseverance: Το διαστημικό όχημα της NASA προσεδαφίστηκε στον Άρη!

Το διαστημικό όχημα «Perseverance» προσεδαφίστηκε επιτυχώς χθες, λίγο πριν τις 11 το βράδυ ώρα Ελλάδος στον Άρη. Στόχος αυτής της αποστολής της...

YouTube: Μπορείτε να αναπαράγετε βίντεο 4K σε συσκευές με οθόνες χαμηλής ανάλυσης

Η εφαρμογή Youtube σε Android σας επιτρέπει να αναπαράγετε βίντεο με ανάλυση έως 4K. Το μόνο που χρειάζεστε είναι ένα τηλέφωνο με...