Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Opisi virusa, 11.01.2021, 09:00 AM

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi video snimak seksualnog skandala američkog predsednika Donalda Trampa.

E-mailovi, naslovljeni sa „DOBRA KREDITNA PONUDA!!“, sadrže JAR fajl pod nazivom „TRUMP_SEX_SCANDAL_VIDEO.jar“, koji prilikom preuzimanja instalira Qua ili Quaverse RAT (QRAT) na sistemu.

Neobično je da naziv zlonamernog fajla nije ni u kakvoj vezi sa naslovom e-maila u kome se nalazi fajl. Kada su istraživači otvorili e-mail koji su uhvatili njihovi spam filteri, očekivali su da je u pitanju tzv. investiciona prevara, pa su bili iznenađeni zbog toga što je u prilogu zlonamerni JAR fajl. Oni kažu da sajber-kriminalci verovatno pokušavaju da iskoriste “ludilo izazvano nedavno završenim predsedničkim izborima”.

Istraga je otkrila da je JAR fajl varijanta QRAT downloadera na koji su istraživači skrenuli pažnju javnosti u avgustu ove godine. Sličnosti između nove i stare verzije malvera su to da obe koriste Allatori Obfuscator za prikrivanje JAR fajla i instalacioni program Node.Js koji se preuzima sa zvaničnog veb sajta nodejs.org.

Kao što je slučaj i sa starijim verzijama malvera, i nova podržava samo Windows platforme.

Lanac infekcije na koju su iz Trustwavea upozoravali pre nekoliko meseci započinjao je e-mailom koji sadrži fajl ili link koji upućuje na zlonamerni zip fajl. I jedno i drugo preuzimaju JAR fajl.

Downloader prve faze postavlja platformu Node.Js na sistemu, a zatim preuzima i pokreće downloader druge faze pod nazivom „wizard.js“ koji je odgovoran za preuzimanje i pokretanje Qnode RAT („qnode-win32-ia32.js”) sa servera koji kontroliše napadač.

QRAT je tipični trojanski program za daljinski pristup sa brojnim funkcijama, uključujući prikupljanje sistemskih informacija i lozinki iz aplikacija kao što su Google Chrome, Firefox, Thunderbird i Microsoft Outlook.

Ono što se sada promenilo je uključivanje novog iskačućeg upozorenja koje obaveštava žrtvu da je JAR koji se pokreće softver za daljinski pristup koji se koristi za testove penetracije. To takođe znači da se zlonamerno ponašanje trojanca počinje manifestovati tek kada korisnik klikne na „Ok, znam šta radim“.

„Ovaj iskačući prozor je malo čudan i možda je pokušaj da aplikacija izgleda legitimno ili da se skine odgovornost sa originalnih autora softvera“, kažu istraživači.

Istraživači kažu da je trojanac značajno poboljšan u poslednjih nekoliko meseci otkako su ga prvi put analizirali. Ipak, iako ima određenih poboljšanja u odnosu na prethodne verzije, sama kampanja je prilično amaterska, kažu istraživači. Oni smatraju da bi šanse da ova pretnja bude uspešno isporučena bile mnogo veće ako bi e-mailovi bili sofisticiraniji.

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi video snimak seksualnog skandala američkog predsednika Donalda Trampa.

E-mailovi, naslovljeni sa „DOBRA KREDITNA PONUDA!!“, sadrže JAR fajl pod nazivom „TRUMP_SEX_SCANDAL_VIDEO.jar“, koji prilikom preuzimanja instalira Qua ili Quaverse RAT (QRAT) na sistemu.

Neobično je da naziv zlonamernog fajla nije ni u kakvoj vezi sa naslovom e-maila u kome se nalazi fajl. Kada su istraživači otvorili e-mail koji su uhvatili njihovi spam filteri, očekivali su da je u pitanju tzv. investiciona prevara, pa su bili iznenađeni zbog toga što je u prilogu zlonamerni JAR fajl. Oni kažu da sajber-kriminalci verovatno pokušavaju da iskoriste “ludilo izazvano nedavno završenim predsedničkim izborima”, jer naziv fajla koji su koristili u prilogu nije povezan sa naslovom e-maila”.

Istraga je otkrila da je JAR fajl varijanta QRAT downloadera na koji su istraživači skrenuli pažnju javnosti u avgustu ove godine. Sličnosti između nove i stare verzije malvera su te da obe koriste Allatori Obfuscator za prikrivanje JAR fajla i instalacioni program Node.Js koji se preuzima sa zvaničnog veb sajta nodejs.org.

Kao što je slučaj i sa starijim verzijama malvera, i nova podržava samo Windows platforme.

Lanac infekcije na koju su iz Trustwavea upozoravali pre nekoliko meseci započinjao je e-mailom koji sadrži fajl ili link koji upućuje na zlonamerni zip fajl. I jedno i drugo preuzimaju JAR fajl.

Downloader prve faze postavlja platformu Node.Js na sistemu, a zatim preuzima i pokreće downloader druge faze pod nazivom „wizard.js“ koji je odgovoran za preuzimanje i pokretanje Qnode RAT („qnode-win32-ia32.js”) sa servera koji kontroliše napadač.

QRAT je tipični trojanski program za daljinski pristup sa brojnim funkcijama, uključujući prikupljanje sistemskih informacija i lozinki iz aplikacija kao što su Google Chrome, Firefox, Thunderbird i Microsoft Outlook.

Ono što se sada promenilo je uključivanje novog iskačućeg upozorenja koje obaveštava žrtvu da je JAR koji se pokreće softver za daljinski pristup koji se koristi za testove penetracije. To takođe znači da se zlonamerno ponašanje trojanca počinje manifestovati tek kada korisnik klikne na „Ok, znam šta radim“.

„Ovaj iskačući prozor je malo čudan i možda je pokušaj da aplikacija izgleda legitimno ili da se skine odgovornost sa originalnih autora softvera“, kažu istraživači.

Istraživači kažu da je trojanac značajno poboljšan u poslednjih nekoliko meseci otkako su ga prvi put analizirali. Ipak, iako ima određenih poboljšanja u odnosu na prethodne verzije, sama kampanja je prilično amaterska, kažu istraživači. Oni smatraju da bi šansa da ova pretnja bude uspešno isporučena bila mnogo veća ako bi e-mailovi bili sofisticiraniji.