犯罪者がウイルスのパンデミックの発生を利用しているため、Covid-19フィッシングキャンペーンが増加しています. QnodeServiceとしても知られているNode.jsトロイの木馬である最新のペイロード. 入手可能な情報によると、検出率は非常に低く、Javaスクリプトを介してダウンロードされます.
以前は検出されなかったQNodeServiceNode.Jsトロイの木馬がCovid-19フィッシングメッセージを介して配信されました
新しいNode.jsトロイの木馬が、検出率が非常に低い脅威として特徴付けられるフィッシングキャンペーンで検出されました. キャンペーンは利用します 偽の税控除の電子メール通知 に添付ファイルが含まれている jar形式 — Javaパッケージ形式. このメッセージは、被害者を操作して、重要な文書を受け取っていると信じ込ませ、それらを開かなければならないことを目的としています。. それらが開かれると、このJavaファイルはQNodeServiceトロイの木馬感染につながります.
このカテゴリの他のマルウェアと比較して、選択するプログラミング言語としてNode.jsを選択することは、非標準のオプションです。. それが選ばれた理由の1つは、それがすべての最新のWebブラウザーで解釈できるためであり、これにより、 クロスプラットフォーム. さらに、Javaペイロードドロッパーを介して配信されるため、一部のアンチウイルスチェックを回避する可能性があります.
Javaファイルがトリガーされるとすぐに、いくつかの実行が行われます。 予備的なシステムチェック マルウェアを展開する前に. システムアーキテクチャをチェックし、リモートハッカーサイトからそれぞれのウイルスバージョンをダウンロードします — 両方 32 および64ビットプラットフォームがサポートされています. また、ハッカーが制御するサーバーへの接続を確立するために使用される補助ファイルをダウンロードします.
QNodeServiceトロイの木馬の操作: マルウェアのしくみ
実際のQNodeServiceトロイの木馬感染は、それ自体を 持続的な脅威 Windowsレジストリにそれ自体のエントリを追加し、別のペイロードを配信する. マルウェアは、拡張するためにハッカーによって作成されます — Node.jsコードを使用すると、さまざまなプラットフォームで実行でき、将来の攻撃で実装される可能性のある他のモジュールをロードすることもできます。.
の完全なリスト サポートされているコマンド 以下が含まれます:
マルウェアの再ダウンロード, Windowsレジストリ値の削除, ネットワークアドレス情報の収集, ラベルを返す, 一意の署名の生成, アーキテクチャとプラットフォームの情報検索, ユーザープロファイルディレクトリのダウンロード, 特定のファイルのフルパスアドレスの取得, コマンドの実行, ファイルの削除, HTTP転送アクセスコマンドの実行, ファイル一覧, ディレクトリの作成, ファイルのアップロードとパスワードのリスト,
ハッカーによって発行されたさらなるアップデートでは、追加する機能も追加されました タグ, このQNodeServiceNode.jsトロイの木馬の特徴は、直接接続せずにさまざまなファイルをダウンロードするためにHTTP転送オプションを使用できることです。. このタイプのウイルスは、できるだけ多くのユーザーに感染することを目的として作成され、一般的なオペレーティングシステムで実行されるように設計されているため、今後さらにアップデートが発行されると予想されます。. Node.jsコードは、モバイルデバイスでも実行できます — スマートフォンとタブレット. 他の一般的なフィッシング戦術もそれらを送信するために使用できます.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: