Covid-19 phishing-kampagner er stigende, da kriminelle drager fordel af viruspandemikudbruddet. Den nyeste nyttelast, der er en Node.js Trojan, der ellers er kendt som QnodeService. I henhold til de tilgængelige oplysninger er detekteringshastigheden meget lav og downloades via et Java-script.
Tidligere uopdaget QNodeService Node.Js Trojan leveret via Covid-19 Phishing-meddelelser
En ny Node.js Trojan er blevet registreret i en phishing-kampagne, der er karakteriseret som en trussel med en meget lav detekteringshastighed. Kampagnen gør brug af falske e-mail-beskeder om skattelettelse der inkluderer en fil vedhæftet fil i krukkeformat — et Java-pakkeformat. Meddelelsen sigter mod at manipulere ofrene til at tro, at de modtager vigtige dokumenter og skal åbne dem. Når de åbnes, vil denne Java-fil føre til QNodeService Trojan-infektion.
I sammenligning med anden malware i denne kategori er valget af Node.js som det valgte programmeringssprog en ikke-standardindstilling. En af grundene til, at det blev valgt, er fordi det kan fortolkes af alle moderne webbrowsere, og det gør det muligt cross-platform. Eftersom den leveres via en Java-nyttelast-dropper, kan den muligvis undgå nogle antiviruschecks.
Så snart Java-filen er udløst, udfører den nogle foreløbige systemkontrol før installationen af malware. Det kontrollerer systemarkitekturen og downloader den respektive virusversion fra et eksternt hacker-sted — begge 32 og 64-bit platforme understøttes. Det vil også downloade en hjælpefil, der bruges til at etablere en forbindelse til den hacker-kontrollerede server.
QNodeService Trojan Operation: Sådan fungerer malware
Den faktiske QNodeService Trojan-infektion begynder med at indstille sig selv som en vedvarende trussel ved at tilføje en post for sig selv i Windows-registreringsdatabasen og levere en anden nyttelast. Malware er skrevet af hackere for at blive udvidet — Node.js-koden tillader, kan køres på forskellige platforme og kan også indlæse andre moduler, der kan implementeres i fremtidige angreb.
Den fulde liste over understøttede kommandoer inkluderer følgende:
genindlæsning af malware, fjernelse af Windows-registerværdier, indsamling af netværksadresse, etiketten vender tilbage, generering af en unik signatur, arkitektur og hentning af platforminformation, download af brugerprofilkatalog, hentning af den fulde sti-adresse for en given fil, kommandoer udførelse, fjernelse af filer, HTTP-kommandoudførelse af fremadadgang, filer liste, oprettelse af kataloger, upload af filer og liste over adgangskoder,
En yderligere opdatering udstedt af hackere tilføjede også muligheden for at tilføje ind tags, et særpræg ved denne QNodeService Node.js Trojan er, at den kan bruge HTTP-fremad-indstillingen til at downloade forskellige filer uden at oprette en direkte forbindelse. Da denne type virus oprettes med den hensigt at inficere så mange brugere som muligt og designet til at køre på det populære operativsystem, forventer vi, at der vil blive udsendt yderligere opdateringer til det. Node.js-kode kan køres selv på mobile enheder — smartphones og tablets. Andre almindelige phishing-taktikker kan også bruges til at sende dem.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: