Akzeptieren

Die Cookies helfen mir bei der Bereitstellung der Inhalte und Dienste. Durch die Nutzung meines Blogs erklärst du dich damit einverstanden, dass ich Cookies setzen darf.

»: Thanks for coming!
       
      
Aktuelle Seite: News

Hacker, die das Skandalvideo von Fake Trump verwenden, um QNode-Malware zu verbreiten
Nachricht



Cybesecurity Forscher heute enthüllen eine neue malspam Kampagne die ein Sex Skandal Video von US Präsident Donald Trump enthalten von vorgeblich einen RAS-Trojan (RAT) verteilt.

Die E-Mails mit der Betreffzeile "GOOD LOAN OFFER !!" werden mit einer Java-Archivdatei (JAR) namens "TRUMP_SEX_SCANDAL_VIDEO.jar" versehen, die beim Herunterladen Qua oder Quaverse RAT ( installiert QRAT ) auf dem infiltrierten System.

"Wir vermuten, dass die Bösen versuchen, die Raserei zu überwinden, die durch die kürzlich abgeschlossenen Präsidentschaftswahlen ausgelöst wurde, da der Dateiname, den sie für den Anhang verwendet haben, völlig unabhängig vom Thema der E-Mail ist", sagte Diana Lopera, Senior Security Researcher bei Trustwave, in einem Bericht heute veröffentlicht.

Die neueste Kampagne ist eine Variante des Windows-basierten QRAT-Downloaders Trustwave entdeckten im August .

Die Infektionskette beginnt mit einer Spam-Nachricht, die einen eingebetteten Anhang oder einen Link enthält, der auf eine schädliche Zip-Datei verweist, von der eine eine JAR-Datei ("Spec # 0034.jar") abruft, die mit dem Allatori verschlüsselt wurde Java-Obfuscator .



QRAT ist ein typischer RAS-Trojaner mit verschiedenen Funktionen, darunter das Abrufen von Systeminformationen, das Ausführen von Dateivorgängen und das Abrufen von Anmeldeinformationen von Anwendungen wie Google Chrome, Firefox, Thunderbird und Microsoft Outlook.

Was sich diesmal geändert hat, ist die Aufnahme einer neuen Popup-Warnung, die das Opfer darüber informiert, dass es sich bei der ausgeführten JAR um eine Fernzugriffssoftware handelt, die für Penetrationstests verwendet wird. Dies bedeutet auch, dass sich das böswillige Verhalten des Beispiels erst manifestiert, wenn der Benutzer auf "Ok, ich weiß, was ich tue" klickt. Taste.

"Dieses Popup ist etwas seltsam und möglicherweise ein Versuch, die Anwendung legitim erscheinen zu lassen oder die Verantwortung von den ursprünglichen Software-Autoren abzulenken", bemerkte Lopera.

Darüber hinaus wird der Schadcode des JAR-Downloaders in verschiedene zufällig nummerierte Puffer aufgeteilt, um der Erkennung zu entgehen.

Weitere Änderungen betreffen eine allgemeine Erhöhung der JAR-Dateigröße und die Eliminierung des Downloaders der zweiten Stufe zugunsten einer aktualisierten Malware-Kette, die sofort die QRAT-Nutzdaten mit dem Namen "boot.js" abruft.

Die RAT hat ihrerseits einen eigenen Anteil an Aktualisierungen erhalten, wobei der Code jetzt mit Base64-Codierung verschlüsselt ist. Außerdem übernimmt sie die Verantwortung für das Fortbestehen auf dem Zielsystem über ein VBS-Skript.

"Diese Bedrohung wurde in den letzten Monaten, seit wir sie zum ersten Mal untersucht haben, erheblich verstärkt", schloss Topera und forderte die Administratoren auf, die eingehenden JARs in ihren E-Mail-Sicherheitsgateways zu blockieren.

"Obwohl die Nutzdaten für Anhänge einige Verbesserungen gegenüber früheren Versionen aufweisen, war die E-Mail-Kampagne selbst eher amateurhaft, und wir glauben, dass die Wahrscheinlichkeit, dass diese Bedrohung erfolgreich zugestellt wird, höher ist, wenn nur die E-Mail komplexer ist."

Quelle: TheHackerNews.com
Kommentare für Hacker, die das Skandalvideo von Fake Trump verwenden, um QNode-Malware zu verbreiten
Keine Kommentare vorhanden

A1-VBcode  VB Archiv