Las campañas de phishing de Covid-19 están en aumento a medida que los delincuentes se aprovechan del brote de pandemia de virus. La carga útil más nueva, que es un troyano Node.js, que también se conoce como QnodeService. Según la información disponible, la tasa de detección es muy baja y se descarga a través de un script Java.
El troyano QNodeService Node.Js no detectado anteriormente se entregó mediante mensajes de phishing de Covid-19
Se detectó un nuevo troyano Node.js en una campaña de phishing que se caracteriza por ser una amenaza con una tasa de detección muy baja. La campaña hace uso de notificaciones de correo electrónico falsas de alivio de impuestos que incluyen un archivo adjunto en el formato jar — un formato de paquete Java. El mensaje tiene como objetivo manipular a las víctimas para que crean que están recibiendo documentos importantes y deben abrirlos.. Cuando se abren, este archivo Java provocará la infección del troyano QNodeService.
En comparación con otro malware de esta categoría, la elección de Node.js como lenguaje de programación de elección es una opción no estándar. Una de las razones por las que se eligió es porque puede ser interpretado por todos los navegadores web modernos y esto permite que sea multiplataforma. Además, como se entrega a través de un cuentagotas de carga útil de Java, puede evadir algunas comprobaciones de antivirus.
Tan pronto como se active el archivo Java, realizará algunos comprobaciones preliminares del sistema antes de desplegar el malware. Verificará la arquitectura del sistema y descargará la versión del virus respectivo desde un sitio de hackers remotos — ambos 32 y las plataformas de 64 bits son compatibles. También descargará un archivo auxiliar que se utiliza para establecer una conexión con el servidor controlado por piratas informáticos.
Operación de troyano QNodeService: Cómo funciona el malware
La infección real del troyano QNodeService comenzará estableciéndose como un persistente amenaza agregando una entrada para sí mismo en el Registro de Windows y entregando otra carga útil. El malware es escrito por los hackers para ser extendido — el código Node.js permite ejecutarse en varias plataformas y también puede cargar otros módulos que pueden implementarse en futuros ataques.
La lista completa de comandos soportados incluye la siguiente:
volver a descargar el malware, eliminación de valores del Registro de Windows, recopilación de información de dirección de red, etiqueta de regreso, generación de una firma única, arquitectura y recuperación de información de plataforma, descarga del directorio de perfil de usuario, recuperación de la dirección de ruta completa para un archivo dado, ejecución de comandos, eliminación de archivos, Ejecución del comando de acceso directo HTTP, listado de archivos, creación de directorio, carga de archivos y listado de contraseñas,
Una actualización adicional emitida por los hackers también agregó la capacidad de agregar etiquetas, Una característica distintiva de este troyano QNodeService Node.js es que puede usar la opción de reenvío HTTP para descargar varios archivos sin hacer una conexión directa. Como este tipo de virus se crean con la intención de infectar a tantos usuarios como sea posible y diseñados para ejecutarse en un sistema operativo popular, esperamos que se emitan más actualizaciones.. El código Node.js se puede ejecutar incluso en dispositivos móviles — teléfonos inteligentes y tabletas. También se pueden usar otras tácticas de phishing comunes para enviarlas.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: