黑客利用假特朗普的丑闻视频传播 QNode 恶意软件

Cybesecurity的研究人员今天公布了一项新的恶意垃圾邮件活动，该活动传播远程访问特洛伊木马（RAT），声称包含美国总统唐纳德·特朗普的性丑闻视频。

这些邮件的主题行是“GOOD LOAN OFFER！！”，附带了一个名为“TRUMP_SEX_Stanks_VIDEO.JAR”的Java存档（JAR）文件，下载后会将Qua或Quaverse RAT（QRAT）安装到被渗透的系统中。

Trustwave的高级安全研究员戴安娜·洛佩拉在今天发表的一篇评论文章中说：“我们怀疑这些坏人试图利用最近结束的总统选举带来的狂热，因为他们在附件中使用的文件名与电子邮件的主题完全无关。”。

最新的活动是研究人员在8月发现的基于Windows的QRAT下载程序Trustwave的变体。

感染链从包含嵌入附件的垃圾邮件或指向恶意zip文件的链接开始，其中任何一个都会检索使用Allatori Java混淆器扰乱的JAR文件（“Spec#0034.JAR”）。

第一级下载程序设置节点。Js平台下载到系统上，然后下载并执行名为“wizard.Js”的第二阶段下载程序，该程序负责实现持久性，并从攻击者控制的服务器获取和运行Qnode RAT（“Qnode-win32-ia32.Js”）。

QRAT是一种典型的远程访问特洛伊木马，具有多种功能，包括获取系统信息、执行文件操作，以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据。

这一次的变化是包含了一个新的弹出警报，通知受害者正在运行的JAR是一个用于渗透测试的远程访问软件。这也意味着，只有当用户单击“确定，我知道我在做什么”时，样本的恶意行为才会开始显现按钮

“这个弹出窗口有点奇怪，可能是为了让应用程序看起来合法，或者转移原软件作者的责任，”洛佩拉指出。

此外，JAR downloader的恶意代码被分成不同的随机编号的缓冲区，以逃避检测。

其他变化包括JAR文件大小的整体增加和第二阶段下载程序的取消，以支持更新的恶意软件链，该链立即获取现在称为“boot.js”的QRAT负载

就RAT而言，除了负责通过VBS脚本在目标系统上持久化之外，它还收到了自己共享的更新，代码现在使用base64编码进行加密。

“自从我们第一次检查它以来，这个威胁在过去几个月里显著增强了，”托佩拉总结道，敦促管理员在他们的电子邮件安全网关中屏蔽传入的JAR。

“虽然附件有效负载比以前的版本有一些改进，但电子邮件活动本身相当业余，我们相信，如果电子邮件更复杂，成功发送这种威胁的可能性更高。”