Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Opisi virusa, 11.01.2021, 09:00 AM

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi video snimak seksualnog skandala američkog predsednika Donalda Trampa.

E-mailovi, naslovljeni sa „DOBRA KREDITNA PONUDA!!“, sadrže JAR fajl pod nazivom „TRUMP_SEX_SCANDAL_VIDEO.jar“, koji prilikom preuzimanja instalira Qua ili Quaverse RAT (QRAT) na sistemu.

Neobično je da naziv zlonamernog fajla nije ni u kakvoj vezi sa naslovom e-maila u kome se nalazi fajl. Kada su istraživači otvorili e-mail koji su uhvatili njihovi spam filteri, očekivali su da je u pitanju tzv. investiciona prevara, pa su bili iznenađeni zbog toga što je u prilogu zlonamerni JAR fajl. Oni kažu da sajber-kriminalci verovatno pokušavaju da iskoriste “ludilo izazvano nedavno završenim predsedničkim izborima”.

Istraga je otkrila da je JAR fajl varijanta QRAT downloadera na koji su istraživači skrenuli pažnju javnosti u avgustu ove godine. Sličnosti između nove i stare verzije malvera su to da obe koriste Allatori Obfuscator za prikrivanje JAR fajla i instalacioni program Node.Js koji se preuzima sa zvaničnog veb sajta nodejs.org.

Kao što je slučaj i sa starijim verzijama malvera, i nova podržava samo Windows platforme.

Lanac infekcije na koju su iz Trustwavea upozoravali pre nekoliko meseci započinjao je e-mailom koji sadrži fajl ili link koji upućuje na zlonamerni zip fajl. I jedno i drugo preuzimaju JAR fajl.

Downloader prve faze postavlja platformu Node.Js na sistemu, a zatim preuzima i pokreće downloader druge faze pod nazivom „wizard.js“ koji je odgovoran za preuzimanje i pokretanje Qnode RAT („qnode-win32-ia32.js”) sa servera koji kontroliše napadač.

QRAT je tipični trojanski program za daljinski pristup sa brojnim funkcijama, uključujući prikupljanje sistemskih informacija i lozinki iz aplikacija kao što su Google Chrome, Firefox, Thunderbird i Microsoft Outlook.

Ono što se sada promenilo je uključivanje novog iskačućeg upozorenja koje obaveštava žrtvu da je JAR koji se pokreće softver za daljinski pristup koji se koristi za testove penetracije. To takođe znači da se zlonamerno ponašanje trojanca počinje manifestovati tek kada korisnik klikne na „Ok, znam šta radim“.

„Ovaj iskačući prozor je malo čudan i možda je pokušaj da aplikacija izgleda legitimno ili da se skine odgovornost sa originalnih autora softvera“, kažu istraživači.

Istraživači kažu da je trojanac značajno poboljšan u poslednjih nekoliko meseci otkako su ga prvi put analizirali. Ipak, iako ima određenih poboljšanja u odnosu na prethodne verzije, sama kampanja je prilično amaterska, kažu istraživači. Oni smatraju da bi šanse da ova pretnja bude uspešno isporučena bile mnogo veće ako bi e-mailovi bili sofisticiraniji.

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi video snimak seksualnog skandala američkog predsednika Donalda Trampa.

E-mailovi, naslovljeni sa „DOBRA KREDITNA PONUDA!!“, sadrže JAR fajl pod nazivom „TRUMP_SEX_SCANDAL_VIDEO.jar“, koji prilikom preuzimanja instalira Qua ili Quaverse RAT (QRAT) na sistemu.

Neobično je da naziv zlonamernog fajla nije ni u kakvoj vezi sa naslovom e-maila u kome se nalazi fajl. Kada su istraživači otvorili e-mail koji su uhvatili njihovi spam filteri, očekivali su da je u pitanju tzv. investiciona prevara, pa su bili iznenađeni zbog toga što je u prilogu zlonamerni JAR fajl. Oni kažu da sajber-kriminalci verovatno pokušavaju da iskoriste “ludilo izazvano nedavno završenim predsedničkim izborima”, jer naziv fajla koji su koristili u prilogu nije povezan sa naslovom e-maila”.

Istraga je otkrila da je JAR fajl varijanta QRAT downloadera na koji su istraživači skrenuli pažnju javnosti u avgustu ove godine. Sličnosti između nove i stare verzije malvera su te da obe koriste Allatori Obfuscator za prikrivanje JAR fajla i instalacioni program Node.Js koji se preuzima sa zvaničnog veb sajta nodejs.org.

Kao što je slučaj i sa starijim verzijama malvera, i nova podržava samo Windows platforme.

Lanac infekcije na koju su iz Trustwavea upozoravali pre nekoliko meseci započinjao je e-mailom koji sadrži fajl ili link koji upućuje na zlonamerni zip fajl. I jedno i drugo preuzimaju JAR fajl.

Downloader prve faze postavlja platformu Node.Js na sistemu, a zatim preuzima i pokreće downloader druge faze pod nazivom „wizard.js“ koji je odgovoran za preuzimanje i pokretanje Qnode RAT („qnode-win32-ia32.js”) sa servera koji kontroliše napadač.

QRAT je tipični trojanski program za daljinski pristup sa brojnim funkcijama, uključujući prikupljanje sistemskih informacija i lozinki iz aplikacija kao što su Google Chrome, Firefox, Thunderbird i Microsoft Outlook.

Ono što se sada promenilo je uključivanje novog iskačućeg upozorenja koje obaveštava žrtvu da je JAR koji se pokreće softver za daljinski pristup koji se koristi za testove penetracije. To takođe znači da se zlonamerno ponašanje trojanca počinje manifestovati tek kada korisnik klikne na „Ok, znam šta radim“.

„Ovaj iskačući prozor je malo čudan i možda je pokušaj da aplikacija izgleda legitimno ili da se skine odgovornost sa originalnih autora softvera“, kažu istraživači.

Istraživači kažu da je trojanac značajno poboljšan u poslednjih nekoliko meseci otkako su ga prvi put analizirali. Ipak, iako ima određenih poboljšanja u odnosu na prethodne verzije, sama kampanja je prilično amaterska, kažu istraživači. Oni smatraju da bi šansa da ova pretnja bude uspešno isporučena bila mnogo veća ako bi e-mailovi bili sofisticiraniji.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi vid... Dalje

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Posle zatišja od skoro dva meseca, botnet Emotet se vratio izmenjen i sa kampanjom koja dnevno pogađa 100 000 ciljeva. Emotet se pojavio 2014. godin... Dalje

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Sezona praznične kupovine uskoro počinje, pa ne bi bilo loše imati na umu novi malver koji krade podatke sa platnih kartica, koristeći steganograf... Dalje