QNode RAT

Una nuova minacciosa campagna che fornisce la minaccia RAT (Remote Access Trojan) denominata QNode RAT è stata rilevata dai ricercatori di infosec. La distribuzione di questo malware minaccioso si ottiene attraverso la diffusione di e-mail di spam che contengono allegati contenenti malware. Le persone responsabili dell'operazione sembrano però un po 'dilettantistiche, a giudicare dal fatto che alcune parti delle e-mail di richiamo sembrano essere in totale dissonanza l'una con l'altra. In effetti, l'oggetto e il corpo delle e-mail di spam sono progettati per avere l'aspetto di un prestito o di un'offerta di investimento. Allo stesso tempo, tuttavia, gli allegati corrotti apparentemente vogliono trarre vantaggio dai recenti eventi caotici negli Stati Uniti causati dalle elezioni presidenziali con nomi come "TRUMP_SEX_SCANDAL_VIDEO.jar".

All'interno di questo file c'è una nuova variante basata sui downloader QRAT di Node.Js che gli esperti di infosec chiamano QNODE DOWNLOADER. Sebbene l'obiettivo finale sia ancora l'invio della minaccia QNode RAT sul dispositivo compromesso, il downloader stesso mostra alcuni miglioramenti distinti e deviazioni dal comportamento delle varianti precedenti. Innanzitutto, il file JAR stesso è notevolmente più grande. La minaccia visualizza anche una finestra GUI che avverte gli utenti che il programma che hanno avviato è un software di accesso remoto utilizzato principalmente nei test di penetrazione. Va notato che la minaccia non si impegnerà in alcuna attività minacciosa a meno che gli utenti non facciano clic su "Ok, so cosa sto facendo". pulsante della finestra della GUI. Il downloader ha anche una presunta licenza ISC integrata nel suo codice.

Anche la consegna del carico utile della fase successiva è stata semplificata. Nella versione più recente è necessario fornire solo l'indirizzo di comando e controllo (C&C, C2) dei server e l'argomento '--hub-domain' sono gli unici requisiti per l'impostazione del processo Node.Js responsabile del download del payload per il passo successivo nell'attacco. È stato inoltre osservato un cambiamento nel meccanismo di persistenza di QNODE DOWNLOADER. Invece di essere relegato a un payload di seconda fase denominato "wizard.js", tale attività viene ora gestita da un payload denominato "boot.js." La persistenza viene ottenuta tramite la creazione di uno script VBS in% userprofile% \ qhub \ node \ 2.0.10 \ boot.vbs, che viene successivamente iniettato nella chiave di registro HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Il QNode RAT è il carico utile finale nella catena di attacco e sembra una versione più semplice rispetto ad alcune delle sue versioni precedenti, con una gamma più piccola di funzionalità. Tuttavia, QNode RAT è estremamente minaccioso ed è in grado di manipolare file, raccogliere informazioni di sistema, recuperare password appartenenti ad applicazioni specifiche, oltre ad avere la capacità di eliminare il suo meccanismo di persistenza.

Al momento, le email di consegna utilizzate nella campagna sono piuttosto sospette e non molte persone probabilmente si innamoreranno di loro, ovviamente. Se gli hacker creano un messaggio più coerente, tuttavia, gli utenti dovranno essere più vigili per evitare che il malware entri nei loro sistemi informatici.