Le campagne di phishing Covid-19 sono in aumento mentre i criminali stanno sfruttando l'epidemia di pandemia di virus. Il payload più recente che è un Trojan Node.js, altrimenti noto come QnodeService. Secondo le informazioni disponibili, il tasso di rilevamento è molto basso e scaricato tramite uno script Java.
Trojan QNodeService Node.Js precedentemente non rilevato inviato tramite messaggi di phishing Covid-19
Un nuovo trojan Node.js è stato rilevato in una campagna di phishing caratterizzata da una minaccia con un tasso di rilevamento molto basso. La campagna fa uso di false notifiche e-mail di alleggerimento fiscale che includono un allegato nel file formato vaso — un formato di pacchetto Java. Il messaggio mira a manipolare le vittime affinché credano di ricevere documenti importanti e debbano aprirli. Quando vengono aperti, questo file Java porterà all'infezione da Trojan QNodeService.
In confronto ad altri malware di questa categoria, la scelta di Node.js come linguaggio di programmazione preferito è un'opzione non standard. Uno dei motivi per cui è stato scelto è perché può essere interpretato da tutti i browser Web moderni e questo gli permette di esserlo piattaforme. Inoltre, poiché viene consegnato tramite un dropper di payload Java, può sfuggire ad alcuni controlli antivirus.
Non appena il file Java viene attivato, ne eseguirà un po ' controlli preliminari del sistema prima di distribuire il malware. Controllerà l'architettura del sistema e scaricherà la rispettiva versione del virus da un sito di hacker remoto — entrambi 32 e sono supportate piattaforme a 64 bit. Inoltre scaricherà un file ausiliario che viene utilizzato per stabilire una connessione al server controllato dagli hacker.
QNodeService Operazione Trojan: Come funziona il malware
L'attuale infezione da Trojan QNodeService inizierà impostandosi come a persistente minaccia aggiungendo una voce per sé nel registro di Windows e offrendo un altro payload. Il malware è scritto dagli hacker per essere esteso — il codice Node.js consente di essere eseguito su varie piattaforme e può anche caricare altri moduli che potrebbero essere implementati in attacchi futuri.
L'elenco completo di comandi supportati comprende le seguenti:
nuovo download del malware, rimozione dei valori del registro di Windows, raccolta di informazioni sull'indirizzo di rete, etichetta di ritorno, generazione di una firma unica, architettura e recupero delle informazioni sulla piattaforma, download della directory del profilo utente, recupero dell'indirizzo di percorso completo per un determinato file, esecuzione comandi, rimozione dei file, Esecuzione del comando di accesso forward HTTP, elenco dei file, creazione di directory, caricamento di file e elenco di password,
Un ulteriore aggiornamento rilasciato dagli hacker ha anche aggiunto la possibilità di aggiungere tag, una caratteristica distintiva di questo Trojan Node.js QNodeService è che può utilizzare l'opzione di inoltro HTTP per scaricare vari file senza effettuare una connessione diretta. Poiché questo tipo di virus viene creato con l'intenzione di infettare il maggior numero possibile di utenti e progettato per essere eseguito sul popolare sistema operativo, ci aspettiamo che vengano rilasciati ulteriori aggiornamenti. Il codice Node.js può essere eseguito anche su dispositivi mobili — smartphone e tablet. Altre tattiche di phishing comuni possono anche essere utilizzate per inviarle.