QNode RAT

O QNode RAT é um Trojan de Acesso Remoto que pode permitir que atacantes remotos acessem o sistema para fins maliciosos. Seus recursos incluem a execução de operações de arquivo padrão, como renomear ou mover arquivos e roubar credenciais de navegadores e clientes de e-mail. Os usuários devem monitorar os e-mails recebidos em busca de golpes e permitir que seus serviços de segurança removam o QNode RAT e componentes relacionados (como downloaders de Trojans baseados no QRat).

Táticas Incompatíveis com os Entregadores de Trojans

Embora a maioria das táticas inclua temas introdutórios que induzem os usuários a colocar em risco seus PCs e outros dispositivos, algumas não se contentam com apenas um. Uma série recente de ataques está aproveitando as notícias políticas nos Estados Unidos para entregar um Trojan de Acesso Remoto, o QNode RAT. O que é incomum sobre o modelo é que os anexos e corpos de assunto não correspondem, para uma clara re-proposição de um modelo antigo para novos fins.

O ataque começa com a velha história de um e-mail com um arquivo anexado. Em inglês gramaticalmente questionável, a mensagem afirma que o leitor se qualifica para assistência financeira, com empréstimos de até cem milhões de dólares. O arquivo anexo, um JAR (Java Archive), tem um nome totalmente não relacionado: um que faz referência a um suposto escândalo sexual envolvendo Donald Trump. A adaptação do spam a esse novo ângulo pode ser devido a uma contenciosa turbulência política nos Estados Unidos relacionada à eleição presidencial.

No entanto, os especialistas em malware observam que a estrutura do download do Trojan que, eventualmente, instala o QNode RAT é familiar. Existem melhorias substanciais na ofuscação que ocultam as ameaças das soluções de segurança, como a remoção de strings relacionadas à identidade e a divisão da carga em vários arquivos. Mesmo assim, o downloader do Trojan é uma variante dos antigos para campanhas QRat. O mesmo punhado de criminosos turcos também é responsável pelos Trojans Qarallax , Quaverse e Remote Access.

O que Abrir a Porta para um Código Corrompido faz com um PC

O download e a inicialização do QNode RAT incluem a escolha incomum de uma GUI pop-up visível que alerta o usuário sobre a natureza do software como um utilitário de acesso remoto, supostamente para 'testes de penetração'. Uma vez que esta opção acaba com a cobertura do Trojan imediatamente, os usuários provavelmente não serão surpreendidos por infecções no estado atual do esquema, mesmo apesar dos tópicos falsos. Aqueles que ignoram o aviso podem experimentar todos os efeitos da carga útil de um RAT QNode, como:

  • Roubo de senhas de navegadores (Firefox, Chrome) e clientes de e-mail (Thunderbird, Outlook)
  • Permitir que os invasores realizem várias operações de arquivo (renomear, excluir, etc.)
  • Roubo de informações do sistema que os invasores podem abusar para outras tentativas (como derrubar um cavalo de Tróia compatível com a versão do sistema operacional)

O QNode RAT é uma ameaça apenas para o Windows. Como seus e-mails são amadores, a maioria dos usuários que lêem o conteúdo terá uma chance razoável de detectar o golpe antes que a cadeia de infecção comece. Claro, todos os usuários podem aproveitar suas soluções de segurança para remover o QNode RAT e os downloaders de Trojans que possibilitaram sua presença em primeiro lugar.

Um modelo mais bem elaborado para o esquema de instalação do QNode RAT pode resultar em muito mais vítimas do que a implementação apressada atual. Mesmo isso, porém, mostra que os criminosos aproveitarão as oportunidades de golpes de acordo com os ventos da mídia - e o QNode RAT está longe de ser a primeira vez que o nome 'Trump' se tornou um tema para o software Black Hat.

Tendendo

Mais visto

Carregando...