QueenOfClubs

QueenOfClubs was het onderwerp van een rapport uitgegeven door het Department of Homeland Security CISA-agentschap, waar het SlothfulMedia heette. QueenOfClubs is een malware stam die dezelfde rol als vult KingOfHearts en QueenOfHearts in de toolkit van een complexere bedreiging acteur.

QueenOfClubs is een C ++ -achterdeur die is uitgerust met alle functies die aan deze malware worden toegeschreven. Het kan het bestandssysteem op het gecompromitteerde systeem manipuleren - bestanden en mappen verwijderen, downloaden, gegevens uploaden, opdrachten uitvoeren, lopende processen weergeven en ze allemaal afsluiten. In vergelijking met KingOfHearts heeft deze dreiging een uitgebreid scala aan functies dankzij de opname van de mogelijkheid om PowerShell-scripts uit te voeren. Een ander verschil is dat QueenOfClubs een ingebouwde screenshot-grabber heeft in plaats van deze taak te degraderen naar een zelfstandig hulpprogramma.

Wat QueenOfHearts betreft, vonden de onderzoekers meerdere verbanden tussen de twee bedreigingen. Beide malwarestammen gebruiken verschillende identieke hardgecodeerde bestandsnamen, terwijl werd vastgesteld dat het verkeer van beide bedreigingen naar dezelfde Command-and-Control-servers werd geleid. Bovendien werden beide tools soms naast elkaar op de gecompromitteerde computer geïmplementeerd.