Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca
Opisi virusa, 11.01.2021, 09:00 AM

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi video snimak seksualnog skandala američkog predsednika Donalda Trampa.
E-mailovi, naslovljeni sa „DOBRA KREDITNA PONUDA!!“, sadrže JAR fajl pod nazivom „TRUMP_SEX_SCANDAL_VIDEO.jar“, koji prilikom preuzimanja instalira Qua ili Quaverse RAT (QRAT) na sistemu.
Neobično je da naziv zlonamernog fajla nije ni u kakvoj vezi sa naslovom e-maila u kome se nalazi fajl. Kada su istraživači otvorili e-mail koji su uhvatili njihovi spam filteri, očekivali su da je u pitanju tzv. investiciona prevara, pa su bili iznenađeni zbog toga što je u prilogu zlonamerni JAR fajl. Oni kažu da sajber-kriminalci verovatno pokušavaju da iskoriste “ludilo izazvano nedavno završenim predsedničkim izborima”.
Istraga je otkrila da je JAR fajl varijanta QRAT downloadera na koji su istraživači skrenuli pažnju javnosti u avgustu ove godine. Sličnosti između nove i stare verzije malvera su to da obe koriste Allatori Obfuscator za prikrivanje JAR fajla i instalacioni program Node.Js koji se preuzima sa zvaničnog veb sajta nodejs.org.
Kao što je slučaj i sa starijim verzijama malvera, i nova podržava samo Windows platforme.
Lanac infekcije na koju su iz Trustwavea upozoravali pre nekoliko meseci započinjao je e-mailom koji sadrži fajl ili link koji upućuje na zlonamerni zip fajl. I jedno i drugo preuzimaju JAR fajl.
Downloader prve faze postavlja platformu Node.Js na sistemu, a zatim preuzima i pokreće downloader druge faze pod nazivom „wizard.js“ koji je odgovoran za preuzimanje i pokretanje Qnode RAT („qnode-win32-ia32.js”) sa servera koji kontroliše napadač.
QRAT je tipični trojanski program za daljinski pristup sa brojnim funkcijama, uključujući prikupljanje sistemskih informacija i lozinki iz aplikacija kao što su Google Chrome, Firefox, Thunderbird i Microsoft Outlook.
Ono što se sada promenilo je uključivanje novog iskačućeg upozorenja koje obaveštava žrtvu da je JAR koji se pokreće softver za daljinski pristup koji se koristi za testove penetracije. To takođe znači da se zlonamerno ponašanje trojanca počinje manifestovati tek kada korisnik klikne na „Ok, znam šta radim“.
„Ovaj iskačući prozor je malo čudan i možda je pokušaj da aplikacija izgleda legitimno ili da se skine odgovornost sa originalnih autora softvera“, kažu istraživači.
Istraživači kažu da je trojanac značajno poboljšan u poslednjih nekoliko meseci otkako su ga prvi put analizirali. Ipak, iako ima određenih poboljšanja u odnosu na prethodne verzije, sama kampanja je prilično amaterska, kažu istraživači. Oni smatraju da bi šanse da ova pretnja bude uspešno isporučena bile mnogo veće ako bi e-mailovi bili sofisticiraniji.
Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi video snimak seksualnog skandala američkog predsednika Donalda Trampa.
E-mailovi, naslovljeni sa „DOBRA KREDITNA PONUDA!!“, sadrže JAR fajl pod nazivom „TRUMP_SEX_SCANDAL_VIDEO.jar“, koji prilikom preuzimanja instalira Qua ili Quaverse RAT (QRAT) na sistemu.
Neobično je da naziv zlonamernog fajla nije ni u kakvoj vezi sa naslovom e-maila u kome se nalazi fajl. Kada su istraživači otvorili e-mail koji su uhvatili njihovi spam filteri, očekivali su da je u pitanju tzv. investiciona prevara, pa su bili iznenađeni zbog toga što je u prilogu zlonamerni JAR fajl. Oni kažu da sajber-kriminalci verovatno pokušavaju da iskoriste “ludilo izazvano nedavno završenim predsedničkim izborima”, jer naziv fajla koji su koristili u prilogu nije povezan sa naslovom e-maila”.
Istraga je otkrila da je JAR fajl varijanta QRAT downloadera na koji su istraživači skrenuli pažnju javnosti u avgustu ove godine. Sličnosti između nove i stare verzije malvera su te da obe koriste Allatori Obfuscator za prikrivanje JAR fajla i instalacioni program Node.Js koji se preuzima sa zvaničnog veb sajta nodejs.org.
Kao što je slučaj i sa starijim verzijama malvera, i nova podržava samo Windows platforme.
Lanac infekcije na koju su iz Trustwavea upozoravali pre nekoliko meseci započinjao je e-mailom koji sadrži fajl ili link koji upućuje na zlonamerni zip fajl. I jedno i drugo preuzimaju JAR fajl.
Downloader prve faze postavlja platformu Node.Js na sistemu, a zatim preuzima i pokreće downloader druge faze pod nazivom „wizard.js“ koji je odgovoran za preuzimanje i pokretanje Qnode RAT („qnode-win32-ia32.js”) sa servera koji kontroliše napadač.
QRAT je tipični trojanski program za daljinski pristup sa brojnim funkcijama, uključujući prikupljanje sistemskih informacija i lozinki iz aplikacija kao što su Google Chrome, Firefox, Thunderbird i Microsoft Outlook.
Ono što se sada promenilo je uključivanje novog iskačućeg upozorenja koje obaveštava žrtvu da je JAR koji se pokreće softver za daljinski pristup koji se koristi za testove penetracije. To takođe znači da se zlonamerno ponašanje trojanca počinje manifestovati tek kada korisnik klikne na „Ok, znam šta radim“.
„Ovaj iskačući prozor je malo čudan i možda je pokušaj da aplikacija izgleda legitimno ili da se skine odgovornost sa originalnih autora softvera“, kažu istraživači.
Istraživači kažu da je trojanac značajno poboljšan u poslednjih nekoliko meseci otkako su ga prvi put analizirali. Ipak, iako ima određenih poboljšanja u odnosu na prethodne verzije, sama kampanja je prilično amaterska, kažu istraživači. Oni smatraju da bi šansa da ova pretnja bude uspešno isporučena bila mnogo veća ako bi e-mailovi bili sofisticiraniji.

Izdvojeno
Nova verzija malvera NodeStealer ne krade samo Facebook lozinke, već i sve druge lozinke iz različitih veb pregledača
.jpg)
Netskope Threat Labs upozorava na napade u kojima se koriste Python skripte za krađu lozinki i podataka iz veb pregledača korisnika Facebooka. Ova k... Dalje
Novi trojanac se širi preko Telegrama i Discorda

Tim za istraživanje pretnji kompanije Uptycs otkrio je početkom avgusta novi malver nazvan QwixxRAT. Trojanac za daljinski pristup (RAT) je privukao... Dalje
Novi ransomware Knight krije se u mejlovima Tripadvisora

Ransomwareu Cyclops, koji se pojavio u maju ove godine, krajem jula je promenjeno ime u Knight ransomware. Pod tim nazivom ransomware se sada distribu... Dalje
Hakerska grupa ruske obaveštajne službe koristi novi malver za špijunažu ciljeva u istočnoj Evropi

Ruska hakerska grupa BlueBravo iza koje stoji država napada diplomatske entitete širom istočne Evrope inficirajući uređaje ciljeva novim backooro... Dalje
Novi malver inficira macOS računare i krade lozinke iz veb pretraživača

Početkom meseca istraživač bezbednosti iamdeadlyz upozorio je na više lažnih blokčejn igara koje se koriste za inficiranje Windows i macOS raču... Dalje
Pratite nas
Nagrade