Les campagnes de phishing de Covid-19 sont en hausse alors que les criminels profitent de l'épidémie de pandémie de virus. La plus récente charge utile qui est un cheval de Troie Node.js qui est autrement connu comme QnodeService. Selon les informations disponibles, le taux de détection est très faible et téléchargé via un script Java.
Cheval de Troie QNodeService Node.Js non détecté précédemment fourni via des messages de phishing Covid-19
Un nouveau cheval de Troie Node.js a été détecté dans une campagne de phishing caractérisée comme une menace avec un taux de détection très faible. La campagne utilise fausses notifications par e-mail d'allégement fiscal qui incluent une pièce jointe dans le format pot — un format de package Java. Le message vise à manipuler les victimes en leur faisant croire qu'elles reçoivent des documents importants et qu'elles doivent les ouvrir. Une fois ouverts, ce fichier Java entraînera l'infection par le cheval de Troie QNodeService.
En comparaison avec d'autres logiciels malveillants de cette catégorie, le choix de Node.js comme langage de programmation de choix est une option non standard. L'une des raisons pour lesquelles il a été choisi est qu'il peut être interprété par tous les navigateurs Web modernes, ce qui lui permet d'être multi-plateforme. De plus, comme il est fourni via un compte-gouttes de charge utile Java, il peut échapper à certains contrôles antivirus.
Dès que le fichier Java est déclenché, il effectuera une vérifications préliminaires du système avant de déployer le malware. Il vérifiera l'architecture du système et téléchargera la version de virus correspondante depuis un site pirate distant — tous les deux 32 et les plates-formes 64 bits sont prises en charge. Il téléchargera également un fichier auxiliaire qui est utilisé pour établir une connexion avec le serveur contrôlé par les pirates.
Fonctionnement du cheval de Troie QNodeService: Comment fonctionne le malware
L'infection réelle du cheval de Troie QNodeService commencera en se définissant comme menace persistante en ajoutant une entrée pour lui-même dans le registre Windows et en fournissant une autre charge utile. Le malware est écrit par les pirates afin d'être étendu — le code Node.js permet d'être exécuté sur diverses plates-formes et peut également charger d'autres modules qui pourraient être implémentés lors d'attaques futures.
La liste complète des commandes prises en charge comprend les éléments suivants:
retéléchargement du malware, suppression des valeurs du Registre Windows, collecte d'informations sur l'adresse réseau, retour d'étiquette, génération d'une signature unique, architecture et récupération d'informations sur la plateforme, téléchargement du répertoire du profil utilisateur, récupération de l'adresse du chemin complet pour un fichier donné, exécution de commandes, suppression des fichiers, Exécution de la commande d'accès direct HTTP, liste des fichiers, création de répertoire, téléchargement de fichiers et liste de mots de passe,
Une autre mise à jour publiée par les pirates a également ajouté la possibilité d'ajouter Mots clés, une caractéristique distinctive de ce cheval de Troie QNodeService Node.js est qu'il peut utiliser l'option de transfert HTTP afin de télécharger divers fichiers sans établir de connexion directe.. Comme ce type de virus est créé avec l'intention d'infecter autant d'utilisateurs que possible et conçu pour fonctionner sur le système d'exploitation populaire, nous nous attendons à ce que de nouvelles mises à jour soient publiées.. Le code Node.js peut être exécuté même sur des appareils mobiles — smartphones et tablettes. D'autres tactiques de phishing courantes peuvent également être utilisées pour les envoyer.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: