QNode RAT

Eine neue Bedrohungskampagne mit der RAT-Bedrohung (Remote Access Trojan) namens QNode RAT wurde von Infosec-Forschern entdeckt. Die Verbreitung dieser bedrohlichen Malware wird durch die Verbreitung von Spam-E-Mails mit Anhängen mit Malware-Schnürung erreicht. Die für die Operation verantwortlichen Personen wirken jedoch etwas amateurhaft, wenn man bedenkt, dass bestimmte Teile der Köder-E-Mails in völliger Dissonanz zueinander stehen. In der Tat sind Betreff und Text der Spam-E-Mails so gestaltet, dass sie den Anschein eines Darlehens oder eines Investitionsangebots erwecken. Gleichzeitig wollen die korrupten Anhänge offenbar die jüngsten chaotischen Ereignisse in den USA, die durch die Präsidentschaftswahlen verursacht wurden, mit Namen wie "TRUMP_SEX_SCANDAL_VIDEO.jar" ausnutzen.

In dieser Datei befindet sich eine neue Variante, die auf den QRAT-Downloadern von Node.J basiert, die von Experten mit dem Namen QNODE DOWNLOADER erstellt wurden. Während das Endziel immer noch die Übertragung der QNode RAT-Bedrohung auf das gefährdete Gerät ist, zeigt der Downloader selbst einige deutliche Verbesserungen und Abweichungen vom Verhalten der älteren Varianten. Erstens ist die JAR-Datei selbst merklich größer. Die Bedrohung zeigt auch ein GUI-Fenster an, das Benutzer warnt, dass das von ihnen initiierte Programm eine Fernzugriffssoftware ist, die hauptsächlich in Penetrationstests verwendet wird. Es ist zu beachten, dass die Bedrohung keine bedrohlichen Aktivitäten ausführt, es sei denn, Benutzer klicken auf "OK, ich weiß, was ich tue" Schaltfläche des GUI-Fensters. Der Downloader hat auch eine angebliche ISC-Lizenz in seinen Code integriert.

Die Lieferung der Nutzlast der nächsten Stufe wurde ebenfalls optimiert. In der neueren Version muss nur die Befehls- und Steuerungsadresse (C & C, C2) der Server angegeben werden, und das Argument '--hub-domain' ist die einzige Voraussetzung für die Einrichtung des Node.Js-Prozesses, für den die Nutzdaten heruntergeladen werden in der nächste Schritt des Angriffs. Eine Änderung wurde auch im Persistenzmechanismus des QNODE-DOWNLOADERS beobachtet. Anstatt auf eine Nutzlast der zweiten Stufe mit dem Namen "wizard.js" verwiesen zu werden, wird diese Aufgabe jetzt von einer Nutzlast mit dem Namen "boot.js" erledigt. Die Persistenz wird durch die Erstellung eines VBS-Skripts unter% userprofile% \ qhub \ node \ 2.0.10 \ boot.vbs erreicht, das anschließend in den Registrierungsschlüssel HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run eingefügt wird.

Die QNode-RAT ist die endgültige Nutzlast in der Angriffskette und scheint im Vergleich zu einigen früheren Versionen eine einfachere Version mit einem geringeren Funktionsumfang zu haben. Dennoch ist QNode RAT extrem bedrohlich und in der Lage, Dateien zu manipulieren, Systeminformationen zu sammeln, Kennwörter für bestimmte Anwendungen wiederherzustellen und seinen Persistenzmechanismus zu löschen.

Im Moment sind die in der Kampagne verwendeten Zustell-E-Mails ziemlich verdächtig, und es ist offensichtlich, dass nicht viele Leute auf sie hereinfallen werden. Wenn die Hacker jedoch eine kohärentere Nachricht erstellen, müssen die Benutzer wachsamer sein, um zu vermeiden, dass Malware in ihre Computersysteme eindringt.