Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca
Opisi virusa, 11.01.2021, 09:00 AM

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi video snimak seksualnog skandala američkog predsednika Donalda Trampa.
E-mailovi, naslovljeni sa „DOBRA KREDITNA PONUDA!!“, sadrže JAR fajl pod nazivom „TRUMP_SEX_SCANDAL_VIDEO.jar“, koji prilikom preuzimanja instalira Qua ili Quaverse RAT (QRAT) na sistemu.
Neobično je da naziv zlonamernog fajla nije ni u kakvoj vezi sa naslovom e-maila u kome se nalazi fajl. Kada su istraživači otvorili e-mail koji su uhvatili njihovi spam filteri, očekivali su da je u pitanju tzv. investiciona prevara, pa su bili iznenađeni zbog toga što je u prilogu zlonamerni JAR fajl. Oni kažu da sajber-kriminalci verovatno pokušavaju da iskoriste “ludilo izazvano nedavno završenim predsedničkim izborima”.
Istraga je otkrila da je JAR fajl varijanta QRAT downloadera na koji su istraživači skrenuli pažnju javnosti u avgustu ove godine. Sličnosti između nove i stare verzije malvera su to da obe koriste Allatori Obfuscator za prikrivanje JAR fajla i instalacioni program Node.Js koji se preuzima sa zvaničnog veb sajta nodejs.org.
Kao što je slučaj i sa starijim verzijama malvera, i nova podržava samo Windows platforme.
Lanac infekcije na koju su iz Trustwavea upozoravali pre nekoliko meseci započinjao je e-mailom koji sadrži fajl ili link koji upućuje na zlonamerni zip fajl. I jedno i drugo preuzimaju JAR fajl.
Downloader prve faze postavlja platformu Node.Js na sistemu, a zatim preuzima i pokreće downloader druge faze pod nazivom „wizard.js“ koji je odgovoran za preuzimanje i pokretanje Qnode RAT („qnode-win32-ia32.js”) sa servera koji kontroliše napadač.
QRAT je tipični trojanski program za daljinski pristup sa brojnim funkcijama, uključujući prikupljanje sistemskih informacija i lozinki iz aplikacija kao što su Google Chrome, Firefox, Thunderbird i Microsoft Outlook.
Ono što se sada promenilo je uključivanje novog iskačućeg upozorenja koje obaveštava žrtvu da je JAR koji se pokreće softver za daljinski pristup koji se koristi za testove penetracije. To takođe znači da se zlonamerno ponašanje trojanca počinje manifestovati tek kada korisnik klikne na „Ok, znam šta radim“.
„Ovaj iskačući prozor je malo čudan i možda je pokušaj da aplikacija izgleda legitimno ili da se skine odgovornost sa originalnih autora softvera“, kažu istraživači.
Istraživači kažu da je trojanac značajno poboljšan u poslednjih nekoliko meseci otkako su ga prvi put analizirali. Ipak, iako ima određenih poboljšanja u odnosu na prethodne verzije, sama kampanja je prilično amaterska, kažu istraživači. Oni smatraju da bi šanse da ova pretnja bude uspešno isporučena bile mnogo veće ako bi e-mailovi bili sofisticiraniji.
Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi video snimak seksualnog skandala američkog predsednika Donalda Trampa.
E-mailovi, naslovljeni sa „DOBRA KREDITNA PONUDA!!“, sadrže JAR fajl pod nazivom „TRUMP_SEX_SCANDAL_VIDEO.jar“, koji prilikom preuzimanja instalira Qua ili Quaverse RAT (QRAT) na sistemu.
Neobično je da naziv zlonamernog fajla nije ni u kakvoj vezi sa naslovom e-maila u kome se nalazi fajl. Kada su istraživači otvorili e-mail koji su uhvatili njihovi spam filteri, očekivali su da je u pitanju tzv. investiciona prevara, pa su bili iznenađeni zbog toga što je u prilogu zlonamerni JAR fajl. Oni kažu da sajber-kriminalci verovatno pokušavaju da iskoriste “ludilo izazvano nedavno završenim predsedničkim izborima”, jer naziv fajla koji su koristili u prilogu nije povezan sa naslovom e-maila”.
Istraga je otkrila da je JAR fajl varijanta QRAT downloadera na koji su istraživači skrenuli pažnju javnosti u avgustu ove godine. Sličnosti između nove i stare verzije malvera su te da obe koriste Allatori Obfuscator za prikrivanje JAR fajla i instalacioni program Node.Js koji se preuzima sa zvaničnog veb sajta nodejs.org.
Kao što je slučaj i sa starijim verzijama malvera, i nova podržava samo Windows platforme.
Lanac infekcije na koju su iz Trustwavea upozoravali pre nekoliko meseci započinjao je e-mailom koji sadrži fajl ili link koji upućuje na zlonamerni zip fajl. I jedno i drugo preuzimaju JAR fajl.
Downloader prve faze postavlja platformu Node.Js na sistemu, a zatim preuzima i pokreće downloader druge faze pod nazivom „wizard.js“ koji je odgovoran za preuzimanje i pokretanje Qnode RAT („qnode-win32-ia32.js”) sa servera koji kontroliše napadač.
QRAT je tipični trojanski program za daljinski pristup sa brojnim funkcijama, uključujući prikupljanje sistemskih informacija i lozinki iz aplikacija kao što su Google Chrome, Firefox, Thunderbird i Microsoft Outlook.
Ono što se sada promenilo je uključivanje novog iskačućeg upozorenja koje obaveštava žrtvu da je JAR koji se pokreće softver za daljinski pristup koji se koristi za testove penetracije. To takođe znači da se zlonamerno ponašanje trojanca počinje manifestovati tek kada korisnik klikne na „Ok, znam šta radim“.
„Ovaj iskačući prozor je malo čudan i možda je pokušaj da aplikacija izgleda legitimno ili da se skine odgovornost sa originalnih autora softvera“, kažu istraživači.
Istraživači kažu da je trojanac značajno poboljšan u poslednjih nekoliko meseci otkako su ga prvi put analizirali. Ipak, iako ima određenih poboljšanja u odnosu na prethodne verzije, sama kampanja je prilično amaterska, kažu istraživači. Oni smatraju da bi šansa da ova pretnja bude uspešno isporučena bila mnogo veća ako bi e-mailovi bili sofisticiraniji.

Izdvojeno
Novi malver MacStealer krade lozinke korisnika Appleovih računara

Novi malver za krađu informacija sa računara sa macOS operativnim sistemom, nazvan MacStealer, najnoviji je primer pretnje koja koristi Telegram kao... Dalje
Sa ChatGPT napravljen polimorfni malver

Istraživač HYAS instituta i stručnjak za sajber bezbednost, Džef Sims, razvio je novi malver koji pokreće ChatGPT pod nazivom Blackmamba. U janu... Dalje
Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preu... Dalje
BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

Nevidiljivi UEFI (Unified Extensible Firmware Interface) bootkit pod nazivom BlackLotus postao je prvi poznati malver koji je u stanju da zaobiđe Sec... Dalje
Piratski programi za macOS inficiraju računare opasnim kripto malverom

Final Cut Pro i druge piratske macOS aplikacije na Pirate Bay su inficirane do sada neotkrivenim malverom. Kada ih žrtve preuzmu, zaraženi Apple ure... Dalje
Pratite nas
Nagrade