QNodeService
Inúmeros criminosos cibernéticos estão usando a pandemia do Coronavírus para ganhar dinheiro com as custas de usuários inocentes. Recentemente, os especialistas em segurança cibernética descobriram uma nova campanha de e-mail com o tema COVID-19, que entrega um arquivo JAVA corrompido para seus alvos.
Os desenvolvedores de malware geralmente confiam em um conjunto específico de linguagens de programação e raramente se desviam do caminho. Às vezes, no entanto, eles parecem experimentar alternativas, e essa é uma dessas exceções - os criminosos por trás desse projeto optaram por usar o Node.JS para a criação de seus malwares. Essa é uma estrutura criada com base no JavaScript e normalmente é usada em sites e serviços da Web - no entanto, os criminosos por trás do QNodeService decidiram usá-lo com más intenções. No entanto, se o sistema visado não tiver a estrutura Node.JS instalada, o ataque não será bem-sucedido. Isso significa que os atacantes precisam escolher seus alvos com muito cuidado para garantir que a campanha seja realizada com sucesso.
É provável que os cibercriminosos responsáveis pelo QNodeService tenham como alvo os funcionários de grandes empresas. O email de phishing, que o funcionário de destino recebe, conterá um anexo corrompido denominado 'Alívio da empresa PLP_Tax devido ao surto do Covid-19 CI + PL.jar'. Evidentemente, os invasores estão tentando induzir o usuário a abrir o anexo corrompido, mascarando-o como um potencial fundo governamental distribuído devido à pandemia de Coronavírus em andamento.
Quando a ameaça QNodeService compromete um sistema que corresponde aos seus critérios, ela ganha persistência ao modificar o Registro do Windows. Em seguida, o QNodeService se conectará ao servidor de C&C (Comando e Controle) dos atacantes e enviará uma mensagem para ele. Isso parecia bastante incomum, pois a mensagem conterá um ID do usuário e uma string com a inscrição 'assinatura'. Isso faz com que os analistas de malware acreditem que o QNodeService pode ser alugado para outros hackers que estão dispostos a pagar para usá-lo para seus próprios fins nefastos. O QNodeService pode receber vários comandos do servidor C&C de seus autores. Essa ameaça é capaz de:
- Coletar arquivos do host comprometido.
- Navegar e executar arquivos.
- Reúnir dados sobre o host, tais como nome do computador, nome de usuário, hardware e dados de software, bem como o endereço IP do sistema.
- Fazer o download e plantar arquivos adicionais do servidor C&C.
- Coletar senhas dos navegadores Mozilla Firefox e Google Chrome.
- Atualizar-se com a ajuda do servidor C&C.
Não esqueça que é crucial proteger o seu sistema com um aplicativo anti-vírus confiável. Além disso, atualize todos os seus softwares regularmente, pois isso os tornará menos vulneráveis a um ataque cibernético.