QNode RAT

Een nieuwe bedreigende campagne die de Remote Access Trojan (RAT) -dreiging genaamd QNode RAT levert, is gedetecteerd door infosec-onderzoekers. De verspreiding van deze bedreigende malware wordt bereikt door de verspreiding van spam-e-mails met bijlagen met malware. De mensen die verantwoordelijk zijn voor de operatie lijken echter een beetje amateuristisch, te oordelen naar het feit dat de bepaalde delen van de lok-e-mails totaal dissonant met elkaar lijken te zijn. Het onderwerp en de inhoud van de spam-e-mails zijn inderdaad ontworpen om de schijn te hebben van een lening of een investeringsaanbod. Tegelijkertijd willen de corrupte bijlagen kennelijk profiteren van de recente chaotische gebeurtenissen in de VS, veroorzaakt door de presidentsverkiezingen, door namen te hebben als 'TRUMP_SEX_SCANDAL_VIDEO.jar.'

In dit bestand zit een nieuwe variant gebaseerd op de Node.Js QRAT-downloaders die infosec-experts QNODE DOWNLOADER noemen. Hoewel het einddoel nog steeds de levering van de QNode RAT-dreiging op het gecompromitteerde apparaat is, vertoont de downloader zelf enkele duidelijke verbeteringen en afwijkingen van het gedrag van de oudere varianten. Ten eerste is het JAR-bestand zelf merkbaar groter. De dreiging geeft ook een GUI-venster weer dat gebruikers waarschuwt dat het programma dat ze hebben gestart, externe toegangssoftware is die voornamelijk wordt gebruikt bij penetratietests. Opgemerkt moet worden dat de dreiging geen enkele bedreigende activiteit zal ondernemen, tenzij gebruikers klikken op de 'Ok, ik weet wat ik aan het doen ben'. knop van het GUI-venster. De downloader heeft ook een vermeende ISC-licentie geïntegreerd in zijn code.

De levering van de payload in de volgende fase is ook gestroomlijnd. In de nieuwere versie hoeft u alleen het Command and Control-adres (C&C, C2) van de servers op te geven, en het '--hub-domain'-argument zijn de enige vereisten voor het instellen van het Node.Js-proces dat verantwoordelijk is voor het downloaden van de payload voor de volgende stap in de aanval. Er is ook een verandering waargenomen in het persistentiemechanisme van de QNODE DOWNLOADER. In plaats van te worden gedegradeerd naar een payload van de tweede fase met de naam 'wizard.js', wordt die taak nu afgehandeld door een payload met de naam 'boot.js.' Persistentie wordt bereikt door het maken van een VBS-script op% userprofile% \ qhub \ node \ 2.0.10 \ boot.vbs, dat vervolgens wordt geïnjecteerd in de HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run registersleutel.

De QNode RAT is de laatste payload in de aanvalsketen en het lijkt een eenvoudigere versie te zijn in vergelijking met sommige van zijn vorige versies, met een kleiner aantal functionaliteiten. Toch is QNode RAT extreem bedreigend en is het in staat tot bestandsmanipulatie, het verzamelen van systeeminformatie, het herstellen van wachtwoorden die bij specifieke toepassingen horen, en heeft het ook de mogelijkheid om het persistentiemechanisme te verwijderen.

Op dit moment zijn de bezorgings-e-mails die in de campagne worden gebruikt nogal verdacht, en natuurlijk zullen niet veel mensen er voor vallen. Als de hackers echter een meer samenhangende boodschap creëren, zullen gebruikers waakzamer moeten zijn om te voorkomen dat malware hun computersystemen binnendringt.