QNode RAT

En ny truende kampagne, der leverer Trojan Remote Access Trojan (RAT) ved navn QNode RAT, er blevet opdaget af infosec-forskere. Distributionen af denne truende malware opnås gennem spredning af spam-e-mails, der indeholder vedhæftede filer med malware. De mennesker, der er ansvarlige for operationen, ser ud til at være lidt amatørmæssige, men at dømme efter det faktum, at de enkelte dele af lokke-e-mails ser ud til at være i fuldstændig dissonans med hinanden. Faktisk er emnet og kroppen for spam-e-mails designet til at have et lån eller et investeringstilbud. På samme tid ønsker de korrupte tilknytninger tilsyneladende at drage fordel af de nylige kaotiske begivenheder i USA forårsaget af præsidentvalget ved at have navne som 'TRUMP_SEX_SCANDAL_VIDEO.jar.'

Inde i denne fil er en ny variant baseret på Node.Js QRAT-downloadere, som infosec-eksperter hedder QNODE DOWNLOADER. Mens det endelige mål stadig er levering af QNode RAT-truslen på den kompromitterede enhed, viser downloaderen selv nogle tydelige forbedringer og afvigelser fra de ældre varianters opførsel. For det første er selve JAR-filen større. Truslen viser også et GUI-vindue, der advarer brugere om, at det program, de har startet, hovedsagelig er en software til fjernadgang, der anvendes i penetrationstest. Det skal bemærkes, at truslen ikke involverer sig i nogen truende aktivitet, medmindre brugerne klikker på 'Ok, jeg ved hvad jeg laver.' knappen i GUI-vinduet. Downloaderen har også en formodet ISC-licens integreret i sin kode.

Leveringen af næste-trins nyttelast er også blevet strømlinet. I den nyere version behøver kun at levere serverne Command and Control (C&C, C2), og argumentet '--hub-domain' er de eneste krav til konfiguration af Node.Js-processen, der er ansvarlig for at downloade nyttelasten til det næste trin i angrebet. En ændring er også blevet observeret i persistensmekanismen i QNODE DOWNLOADER. I stedet for at blive henvist til en anden-trins nyttelast med navnet 'wizard.js' håndteres denne opgave nu af en nyttelast kaldet 'boot.js.' Persistens opnås gennem oprettelsen af et VBS-script på% userprofile% \ qhub \ node \ 2.0.10 \ boot.vbs, som derefter injiceres i HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run-registreringsdatabasenøglen.

QNode RAT er den endelige nyttelast i angrebskæden, og det ser ud til en enklere version sammenlignet med nogle af dens tidligere versioner med et mindre udvalg af funktioner. Alligevel truer QNode RAT ekstremt og er i stand til filmanipulation, systemhøstning af systemoplysninger, gendannelse af adgangskoder, der hører til specifikke applikationer, samt evnen til at slette dens persistensmekanisme.

I øjeblikket er leverings-e-mails, der bruges i kampagnen, ganske mistænkelige, og det er klart, at ikke mange mennesker sandsynligvis falder for dem. Hvis hackerne opretter en mere sammenhængende besked, skal brugerne dog være mere opmærksomme på at undgå at tillade malware at komme ind i deres computersystemer.