JackOfHearts

JackOfHearts is de dropper-malware die verantwoordelijk is voor het leveren van de QueenOfHearts-achterdeur. QueenOfHearts is een van de drie verschillende malwarefamilies die worden waargenomen als onderdeel van het arsenaal van een geavanceerde bedreigingsacteur. Een andere malwarefamilie die de toolkit van de hackers genaamd SlothfulMedia omvatte, was het onderwerp van een rapport dat werd vrijgegeven door het CISA-bureau van het Department of Homeland Security.

Wat JackOfHearts betreft, het is zijn taak om de omgeving van de gecompromitteerde computer voor te bereiden op QueenOfHearts. Ten eerste wordt het payload-bestand met de achterdeur naar een specifieke locatie op de schijf verwijderd, zoals ' % AppData% \ mediaplayer.exe '. Vervolgens wordt het persistentiemechanisme van de hoofdpayload vastgesteld door een Windows-service te maken die ernaar verwijst. Bovendien maakt JackOfHearts een snelkoppeling voor QueenOfHearts in de opstartmap van het systeem en start deze onmiddellijk.

Om de kans op detectie te minimaliseren of de aanwezigheid van malware op het beoogde systeem te verminderen, is de laatste activiteit van JackOfHearts het maken van een zelfverwijderingsprogramma dat in de map% TEMP% wordt geplaatst, waardoor de druppelaar van de schijf wordt verwijderd.