Covid-19-Phishing-Kampagnen nehmen zu, da Kriminelle den Ausbruch der Viruspandemie ausnutzen. Die neueste Nutzlast ist ein Node.js-Trojaner, der auch als QnodeService bezeichnet wird. Nach den verfügbaren Informationen ist die Erkennungsrate sehr niedrig und wird über ein Java-Skript heruntergeladen.
Zuvor nicht erkannter Trojaner von QNodeService Node.Js, der über Covid-19-Phishing-Nachrichten übermittelt wurde
Ein neuer Node.js-Trojaner wurde in einer Phishing-Kampagne erkannt, die als Bedrohung mit einer sehr geringen Erkennungsrate gekennzeichnet ist. Die Kampagne nutzt gefälschte Steuererleichterungen per E-Mail Dazu gehört ein Dateianhang in der Glasformat — ein Java-Paketformat. Die Nachricht zielt darauf ab, die Opfer so zu manipulieren, dass sie glauben, wichtige Dokumente zu erhalten, und sie öffnen müssen. Wenn diese Java-Datei geöffnet wird, führt dies zur Infektion mit dem QNodeService-Trojaner.
Im Vergleich zu anderer Malware dieser Kategorie ist die Wahl von Node.js als Programmiersprache keine Standardoption. Einer der Gründe, warum es ausgewählt wurde, ist, dass es von allen modernen Webbrowsern interpretiert werden kann und dies ermöglicht Cross-Plattform. Da es über eine Java-Nutzlast-Pipette geliefert wird, kann es außerdem einigen Antivirenprüfungen entgehen.
Sobald die Java-Datei ausgelöst wird, werden einige ausgeführt vorläufige Systemprüfungen vor dem Bereitstellen der Malware. Es überprüft die Systemarchitektur und lädt die entsprechende Virenversion von einer Remote-Hacker-Site herunter — beide 32 und 64-Bit-Plattformen werden unterstützt. Außerdem wird eine Zusatzdatei heruntergeladen, mit der eine Verbindung zum vom Hacker gesteuerten Server hergestellt wird.
QNodeService-Trojaner-Betrieb: Wie die Malware funktioniert
Die eigentliche QNodeService-Trojaner-Infektion beginnt damit, sich selbst als festzulegen persistent Bedrohung indem Sie einen Eintrag für sich selbst in die Windows-Registrierung einfügen und eine weitere Nutzlast bereitstellen. Die Malware wird von den Hackern geschrieben, um erweitert zu werden — Der Node.js-Code ermöglicht die Ausführung auf verschiedenen Plattformen und kann auch andere Module laden, die bei zukünftigen Angriffen implementiert werden können.
Die vollständige Liste von unterstützte Befehle enthält die folgenden:
Redownload der Malware, Entfernen von Windows-Registrierungswerten, Sammeln von Netzwerkadressinformationen, Etikettenrückgabe, Generierung einer eindeutigen Signatur, Abrufen von Architektur- und Plattforminformationen, Herunterladen des Benutzerprofilverzeichnisses, Abrufen der vollständigen Pfadadresse für eine bestimmte Datei, Befehlsausführung, Dateien Entfernung, Ausführung des HTTP-Vorwärtszugriffsbefehls, Dateiliste, Verzeichniserstellung, Hochladen von Dateien und Auflisten von Passwörtern,
Ein weiteres Update, das von den Hackern herausgegeben wurde, fügte auch die Möglichkeit hinzu, etwas hinzuzufügen Tags, Eine Besonderheit dieses QNodeService Node.js-Trojaners besteht darin, dass er die HTTP-Weiterleitungsoption verwenden kann, um verschiedene Dateien herunterzuladen, ohne eine direkte Verbindung herzustellen. Da diese Art von Viren mit der Absicht erstellt wird, so viele Benutzer wie möglich zu infizieren und für die Ausführung unter einem gängigen Betriebssystem ausgelegt ist, erwarten wir, dass weitere Updates veröffentlicht werden. Der Code von Node.j kann auch auf Mobilgeräten ausgeführt werden — Smartphones und Tablets. Andere gängige Phishing-Taktiken können ebenfalls verwendet werden, um sie zu senden.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: