返回

黑客利用假特朗普的丑闻视频传播 QNode 恶意软件

发布时间:2023-01-16 08:55:14 458
# c## rust# 服务器# 信息# 软件
trump malware

Cybesecurity的研究人员今天公布了一项新的恶意垃圾邮件活动,该活动传播远程访问特洛伊木马(RAT),声称包含美国总统唐纳德·特朗普的性丑闻视频。

这些邮件的主题行是“GOOD LOAN OFFER!!”,附带了一个名为“TRUMP_SEX_Stanks_VIDEO.JAR”的Java存档(JAR)文件,下载后会将Qua或Quaverse RAT(QRAT)安装到被渗透的系统中。

Trustwave的高级安全研究员戴安娜·洛佩拉在今天发表的一篇评论文章中说:“我们怀疑这些坏人试图利用最近结束的总统选举带来的狂热,因为他们在附件中使用的文件名与电子邮件的主题完全无关。”。

最新的活动是研究人员在8月发现的基于Windows的QRAT下载程序Trustwave的变体。

感染链从包含嵌入附件的垃圾邮件或指向恶意zip文件的链接开始,其中任何一个都会检索使用Allatori Java混淆器扰乱的JAR文件(“Spec#0034.JAR”)。

node-js malware

第一级下载程序设置节点。Js平台下载到系统上,然后下载并执行名为“wizard.Js”的第二阶段下载程序,该程序负责实现持久性,并从攻击者控制的服务器获取和运行Qnode RAT(“Qnode-win32-ia32.Js”)。

QRAT是一种典型的远程访问特洛伊木马,具有多种功能,包括获取系统信息、执行文件操作,以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据。

这一次的变化是包含了一个新的弹出警报,通知受害者正在运行的JAR是一个用于渗透测试的远程访问软件。这也意味着,只有当用户单击“确定,我知道我在做什么”时,样本的恶意行为才会开始显现按钮

node-js malware

“这个弹出窗口有点奇怪,可能是为了让应用程序看起来合法,或者转移原软件作者的责任,”洛佩拉指出。

 

此外,JAR downloader的恶意代码被分成不同的随机编号的缓冲区,以逃避检测。

其他变化包括JAR文件大小的整体增加和第二阶段下载程序的取消,以支持更新的恶意软件链,该链立即获取现在称为“boot.js”的QRAT负载

就RAT而言,除了负责通过VBS脚本在目标系统上持久化之外,它还收到了自己共享的更新,代码现在使用base64编码进行加密。

“自从我们第一次检查它以来,这个威胁在过去几个月里显著增强了,”托佩拉总结道,敦促管理员在他们的电子邮件安全网关中屏蔽传入的JAR。

“虽然附件有效负载比以前的版本有一些改进,但电子邮件活动本身相当业余,我们相信,如果电子邮件更复杂,成功发送这种威胁的可能性更高。”

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线