Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Opisi virusa, 11.01.2021, 09:00 AM

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi video snimak seksualnog skandala američkog predsednika Donalda Trampa.

E-mailovi, naslovljeni sa „DOBRA KREDITNA PONUDA!!“, sadrže JAR fajl pod nazivom „TRUMP_SEX_SCANDAL_VIDEO.jar“, koji prilikom preuzimanja instalira Qua ili Quaverse RAT (QRAT) na sistemu.

Neobično je da naziv zlonamernog fajla nije ni u kakvoj vezi sa naslovom e-maila u kome se nalazi fajl. Kada su istraživači otvorili e-mail koji su uhvatili njihovi spam filteri, očekivali su da je u pitanju tzv. investiciona prevara, pa su bili iznenađeni zbog toga što je u prilogu zlonamerni JAR fajl. Oni kažu da sajber-kriminalci verovatno pokušavaju da iskoriste “ludilo izazvano nedavno završenim predsedničkim izborima”.

Istraga je otkrila da je JAR fajl varijanta QRAT downloadera na koji su istraživači skrenuli pažnju javnosti u avgustu ove godine. Sličnosti između nove i stare verzije malvera su to da obe koriste Allatori Obfuscator za prikrivanje JAR fajla i instalacioni program Node.Js koji se preuzima sa zvaničnog veb sajta nodejs.org.

Kao što je slučaj i sa starijim verzijama malvera, i nova podržava samo Windows platforme.

Lanac infekcije na koju su iz Trustwavea upozoravali pre nekoliko meseci započinjao je e-mailom koji sadrži fajl ili link koji upućuje na zlonamerni zip fajl. I jedno i drugo preuzimaju JAR fajl.

Downloader prve faze postavlja platformu Node.Js na sistemu, a zatim preuzima i pokreće downloader druge faze pod nazivom „wizard.js“ koji je odgovoran za preuzimanje i pokretanje Qnode RAT („qnode-win32-ia32.js”) sa servera koji kontroliše napadač.

QRAT je tipični trojanski program za daljinski pristup sa brojnim funkcijama, uključujući prikupljanje sistemskih informacija i lozinki iz aplikacija kao što su Google Chrome, Firefox, Thunderbird i Microsoft Outlook.

Ono što se sada promenilo je uključivanje novog iskačućeg upozorenja koje obaveštava žrtvu da je JAR koji se pokreće softver za daljinski pristup koji se koristi za testove penetracije. To takođe znači da se zlonamerno ponašanje trojanca počinje manifestovati tek kada korisnik klikne na „Ok, znam šta radim“.

„Ovaj iskačući prozor je malo čudan i možda je pokušaj da aplikacija izgleda legitimno ili da se skine odgovornost sa originalnih autora softvera“, kažu istraživači.

Istraživači kažu da je trojanac značajno poboljšan u poslednjih nekoliko meseci otkako su ga prvi put analizirali. Ipak, iako ima određenih poboljšanja u odnosu na prethodne verzije, sama kampanja je prilično amaterska, kažu istraživači. Oni smatraju da bi šanse da ova pretnja bude uspešno isporučena bile mnogo veće ako bi e-mailovi bili sofisticiraniji.

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi video snimak seksualnog skandala američkog predsednika Donalda Trampa.

E-mailovi, naslovljeni sa „DOBRA KREDITNA PONUDA!!“, sadrže JAR fajl pod nazivom „TRUMP_SEX_SCANDAL_VIDEO.jar“, koji prilikom preuzimanja instalira Qua ili Quaverse RAT (QRAT) na sistemu.

Neobično je da naziv zlonamernog fajla nije ni u kakvoj vezi sa naslovom e-maila u kome se nalazi fajl. Kada su istraživači otvorili e-mail koji su uhvatili njihovi spam filteri, očekivali su da je u pitanju tzv. investiciona prevara, pa su bili iznenađeni zbog toga što je u prilogu zlonamerni JAR fajl. Oni kažu da sajber-kriminalci verovatno pokušavaju da iskoriste “ludilo izazvano nedavno završenim predsedničkim izborima”, jer naziv fajla koji su koristili u prilogu nije povezan sa naslovom e-maila”.

Istraga je otkrila da je JAR fajl varijanta QRAT downloadera na koji su istraživači skrenuli pažnju javnosti u avgustu ove godine. Sličnosti između nove i stare verzije malvera su te da obe koriste Allatori Obfuscator za prikrivanje JAR fajla i instalacioni program Node.Js koji se preuzima sa zvaničnog veb sajta nodejs.org.

Kao što je slučaj i sa starijim verzijama malvera, i nova podržava samo Windows platforme.

Lanac infekcije na koju su iz Trustwavea upozoravali pre nekoliko meseci započinjao je e-mailom koji sadrži fajl ili link koji upućuje na zlonamerni zip fajl. I jedno i drugo preuzimaju JAR fajl.

Downloader prve faze postavlja platformu Node.Js na sistemu, a zatim preuzima i pokreće downloader druge faze pod nazivom „wizard.js“ koji je odgovoran za preuzimanje i pokretanje Qnode RAT („qnode-win32-ia32.js”) sa servera koji kontroliše napadač.

QRAT je tipični trojanski program za daljinski pristup sa brojnim funkcijama, uključujući prikupljanje sistemskih informacija i lozinki iz aplikacija kao što su Google Chrome, Firefox, Thunderbird i Microsoft Outlook.

Ono što se sada promenilo je uključivanje novog iskačućeg upozorenja koje obaveštava žrtvu da je JAR koji se pokreće softver za daljinski pristup koji se koristi za testove penetracije. To takođe znači da se zlonamerno ponašanje trojanca počinje manifestovati tek kada korisnik klikne na „Ok, znam šta radim“.

„Ovaj iskačući prozor je malo čudan i možda je pokušaj da aplikacija izgleda legitimno ili da se skine odgovornost sa originalnih autora softvera“, kažu istraživači.

Istraživači kažu da je trojanac značajno poboljšan u poslednjih nekoliko meseci otkako su ga prvi put analizirali. Ipak, iako ima određenih poboljšanja u odnosu na prethodne verzije, sama kampanja je prilično amaterska, kažu istraživači. Oni smatraju da bi šansa da ova pretnja bude uspešno isporučena bila mnogo veća ako bi e-mailovi bili sofisticiraniji.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Opasna a naizgled bezazlena ekstenzija za Chrome, MS Edge i Operu krade podatke i kriptovalute

Opasna a naizgled bezazlena ekstenzija za Chrome, MS Edge i Operu krade podatke i kriptovalute

Avast je upozorio da poznati malver za Windows, ViperSoftX, instalira opasnu ekstenziju koja krade podatke u veb pretraživače bazirane na Chromiumu.... Dalje

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Istraživači Doctor Weba upozorili su potencijalne kupce i korisnike jeftinih Android telefona koji su kopije popularnih modela pametnih telefona poz... Dalje

Ekstenzija za Chrome i Edge krade imejlove korisnika Gmail i AOL naloga

Ekstenzija za Chrome i Edge krade imejlove korisnika Gmail i AOL naloga

Hakerska grupa iz Severne Koreje praćena pod nazivom Kimsuky, koristi ranije nikada viđen malver za čitanje i preuzimanje elektronske pošte i pril... Dalje

Novi malver za macOS krade podatke sa zaraženih uređaja

Novi malver za macOS krade podatke sa zaraženih uređaja

Istraživači bezbednosti iz kompanije ESET otkrili su novi backdoor za macOS koji se koristi u ciljanim napadima za krađu osetljivih informacija od ... Dalje

Novi malver YTStealer krade naloge kreatora YouTube sadržaja

Novi malver YTStealer krade naloge kreatora YouTube sadržaja

Istraživači sajber bezbednosti iz Intezera otkrili su novi malver koji krade informacije. Ciljevi malvera su kreatori YouTube sadržaja od kojih pok... Dalje