محققان امنیت سایبری یک کمپین جدید را کشف و منتشر کرده‌اند که با ادعای حاوی یک فیلم رسوایی جنسی از دونالد ترامپ، رئیس جمهور ایالات متحده، یک Trojan دسترسی از راه دور (RAT) را توزیع می‌کند.

این ایمیل ها با عنوان “GOOD LOAN OFFER!!” همراه با پرونده جاوا (JAR) به نام “TRUMP_S*E*X_SCANDAL_VIDEO.jar” است که هنگام بارگیری Qua یا (Quaverse RAT (QRAT را بر روی سیستم نفوذی نصب می‌کند.

زنجیره ابتلا با یک پیام هرزنامه حاوی یک پیوست تعبیه شده یا پیوندی که به یک فایل زیپ مخرب اشاره می‌کند شروع می‌شود و هر یک از آنها یک پرونده (“JAR (“Spec#0034.jar را بازیابی می‌کند که با استفاده از Allatori Java obfuscator مخلوط می‌شود.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: malware.jpg
مشاهده: 8
حجم: 68.3 کیلو بایت

این بارگیری کننده مرحله اول پلتفرم Node.Js را بر روی سیستم نصب کرده و سپس، مرحله دوم به نام “wizard.js” را بارگیری و اجرا می‌کند که مسئول ماندگاری و واکشی و اجرای (“Qnode RAT (“qnode-win32-ia32.js از یک سرور کنترل شده توسط مهاجم است.

QRAT یک Trojan دسترسی از راه دور معمولی است که دارای ویژگی‌های مختلفی از جمله: به دست آوردن اطلاعات سیستم، انجام عملیات روی پرونده‌ها و کسب اعتبارنامه از برنامه‌هایی مانندGoogle Chrome : Firefox ،Thunderbird و Microsoft Outlook است.

آنچه این بار تغییر کرده گنجاندن هشدار پاپ‌آپ جدید است که به قربانی اطلاع می‌دهد که JAR در حال اجرا یک نرم‌افزار دسترسی از راه دور است که برای تست نفوذ استفاده می‌شود. این همچنین بدان معناست که رفتار مخرب فقط زمانی شروع به آشکار شدن می‌کند که کاربر روی “Ok, I know what I am doing.” کلیک می کند.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: node-js-malware.jpg
مشاهده: 8
حجم: 28.0 کیلو بایت

این پاپ‌آپ کمی عجیب است و شاید تلاشی برای قانونی جلوه دادن نرم‌افزار یا سلب مسئولیت از نویسندگان اصلی نرم‌افزار باشد.

علاوه بر این کد مخرب بارگیری کننده JAR به منظور جلوگیری از شناسایی به بافرهای مختلف با شماره‌های تصادفی تقسیم می‌شود.
از دیگر تغییرات می‌توان به افزایش کلی اندازه پرونده JAR و حذف بارگیری کننده مرحله دوم به نفع بدافزار به روز شده‌ای اشاره کرد که بلافاصله QRAT را که اکنون “boot.js” نامیده می‌شود بارگیری می‌کند.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

98

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *