QNode RAT

Une nouvelle campagne menaçante diffusant la menace du cheval de Troie d'accès à distance (RAT) nommée QNode RAT a été détectée par les chercheurs d'Infosec. La distribution de ce malware menaçant est réalisée grâce à la diffusion de spams contenant des pièces jointes contenant des malwares. Les responsables de l'opération semblent cependant un peu amateurs, à en juger par le fait que certaines parties des e-mails de leurre semblent être en totale dissonance les unes avec les autres. En effet, l'objet et le corps des courriers indésirables sont conçus pour porter l'apparence d'un prêt ou d'une offre d'investissement. Dans le même temps, cependant, les pièces jointes corrompues veulent apparemment profiter des récents événements chaotiques aux États-Unis causés par l'élection présidentielle en portant des noms tels que «TRUMP_SEX_SCANDAL_VIDEO.jar».

À l'intérieur de ce fichier se trouve une nouvelle variante basée sur les téléchargeurs QRAT Node.Js que les experts d'Infosec ont nommé QNODE DOWNLOADER. Bien que l'objectif final soit toujours la livraison de la menace QNode RAT sur l'appareil compromis, le téléchargeur lui-même montre des améliorations et des écarts distincts par rapport au comportement des anciennes variantes. Premièrement, le fichier JAR lui-même est nettement plus volumineux. La menace affiche également une fenêtre GUI qui avertit les utilisateurs que le programme qu'ils ont lancé est un logiciel d'accès à distance principalement utilisé dans les tests de pénétration. Il convient de noter que la menace ne se lancera dans aucune activité menaçante à moins que les utilisateurs ne cliquent sur le bouton «Ok, je sais ce que je fais». bouton de la fenêtre GUI. Le téléchargeur a également une supposée licence ISC intégrée dans son code.

La livraison de la charge utile de la prochaine étape a également été rationalisée. Dans la version plus récente, il suffit de fournir l'adresse de commande et de contrôle (C&C, C2) des serveurs, et l'argument '--hub-domain' sont les seules exigences pour la configuration du processus Node.Js responsable du téléchargement de la charge utile pour la prochaine étape de l'attaque. Un changement a également été observé dans le mécanisme de persistance du QNODE DOWNLOADER. Au lieu d'être reléguée à une charge utile de deuxième étape nommée «wizard.js», cette tâche est désormais gérée par une charge utile appelée «boot.js.». La persistance est obtenue grâce à la création d'un script VBS dans% userprofile% \ qhub \ node \ 2.0.10 \ boot.vbs, qui est ensuite injecté dans la clé de registre HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Le QNode RAT est la charge utile finale de la chaîne d'attaque, et il semble être une version plus simple par rapport à certaines de ses versions précédentes, avec une gamme de fonctionnalités plus réduite. Pourtant, QNode RAT est extrêmement menaçant et est capable de manipuler des fichiers, de récolter des informations système, de récupérer des mots de passe appartenant à des applications spécifiques, ainsi que d'avoir la possibilité de supprimer son mécanisme de persistance.

Pour le moment, les e-mails de livraison utilisés dans la campagne sont assez suspects et peu de gens risquent de tomber amoureux, évidemment. Cependant, si les pirates créent un message plus cohérent, les utilisateurs devront être plus vigilants pour éviter que des logiciels malveillants ne pénètrent dans leurs systèmes informatiques.