黑客利用特朗普丑闻假视频传播恶意软件

Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动，该活动通过发布美国总统唐纳德·特朗普（Donald Trump）的丑闻假视频来传播远程访问木马（RAT）。

电子邮件的主题为“ GOOD LOAN OFFER !!”，附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档（JAR）文件，一旦被下载，该文件会将Qua或Quaverse RAT（QRAT）安装到系统中。

Trustwave高级安全研究员戴安娜·洛帕（Diana Lopera）在文章中说：“我们怀疑，黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。”

最新的恶意活动是八月份发现的基于Windows的QRAT下载器的变体。

感染链从包含嵌入式附件或指向恶意zip文件的链接的垃圾邮件开始，它们均会检索使用Allatori Java混淆器加扰的JAR文件（“ Spec＃0034.jar”）。

http://hackernews.cc/wp-content/uploads/2021/01/malware.jpg

第一阶段下载程序将Node.Js平台设置到系统上，下载并执行称为“ wizard.js”的第二阶段下载程序，该程序负责持久获取并运行Qnode RAT（“ qnode-win32-ia32。 js”）。

QRAT是典型的远程访问木马，具有获取系统信息、执行文件操作以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据的功能。

这次恶意活动的变化是包含了一个新的弹出警报，该警报会通知受害者正在运行的JAR是用于渗透测试的远程访问软件。这也意味着，一旦用户单击“确定”按钮，该样本的恶意行为就会开始显现。

http://hackernews.cc/wp-content/uploads/2021/01/node-js-malware.jpg

此外，JAR下载程序的恶意代码被分为不同的随机编号的缓冲区以逃避检测。

其他变化包括JAR文件大小的增加以及为更新的恶意软件链而取消了第二阶段的下载程序，更新的恶意软件链可立即获取QRAT有效负载（现称为“ boot.js”）。

就其本身而言，RAT除了通过VBS脚本负责保持在目标系统上的持久性外，还使用了base64编码对代码进行了加密。

Topera总结说：“自我们首次检查以来，该恶意软件的威胁已大大增强。”他敦促管理员在电子邮件安全网关中阻止传入的JAR。

消息及封面来源：The Hacker News，译者：江。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.c