Covid-19-phishingcampagnes nemen toe omdat criminelen profiteren van de uitbraak van een viruspandemie. De nieuwste payload is een Node.js-trojan die ook wel bekend staat als QnodeService. Volgens de beschikbare informatie is het detectiepercentage erg laag en wordt het gedownload via een Java-script.
Eerder ongedetecteerde QNodeService Node.Js Trojan afgeleverd via Covid-19 phishingberichten
Een nieuwe Node.js-trojan is gedetecteerd in een phishing-campagne die wordt gekenmerkt als een bedreiging met een zeer laag detectiepercentage. De campagne maakt gebruik van nep e-mailberichten over belastingverlichting die een bestandsbijlage bevatten in de jar formaat — een Java-pakketindeling. De boodschap is bedoeld om de slachtoffers te manipuleren door te geloven dat ze belangrijke documenten ontvangen en deze moeten openen. Wanneer ze worden geopend, leidt dit Java-bestand tot de QNodeService Trojan-infectie.
In vergelijking met andere malware in deze categorie is de keuze voor Node.js als programmeertaal een niet-standaard optie. Een van de redenen waarom het is gekozen, is omdat het kan worden geïnterpreteerd door alle moderne webbrowsers en dit maakt het mogelijk platformonafhankelijke. Omdat het wordt geleverd via een Java-payload-dropper, kan het enkele antiviruscontroles omzeilen.
Zodra het Java-bestand wordt geactiveerd, zal het wat uitvoeren voorlopige systeemcontroles voordat u de malware implementeert. Het controleert de systeemarchitectuur en downloadt de respectievelijke virusversie van een externe hackersite — beide 32 en 64-bits platforms worden ondersteund. Het downloadt ook een hulpbestand dat wordt gebruikt om een verbinding met de door een hacker bestuurde server tot stand te brengen.
QNodeService Trojan-bewerking: Hoe de malware werkt
De daadwerkelijke QNodeService Trojan-infectie begint met zichzelf in te stellen als een aanhoudende dreiging door een vermelding voor zichzelf toe te voegen in het Windows-register en een andere lading te leveren. De malware is door de hackers geschreven om te worden uitgebreid — de Node.js-code maakt het mogelijk om op verschillende platforms te draaien en kan ook andere modules laden die in toekomstige aanvallen kunnen worden geïmplementeerd.
De volledige lijst van ondersteunde opdrachten omvat de volgende:
het opnieuw downloaden van de malware, verwijdering van Windows-registerwaarden, netwerkadresinformatie verzamelen, label terugkeren, generatie van een unieke handtekening, het ophalen van architectuur en platforminformatie, downloaden van gebruikersprofieldirectory, ophalen van volledig padadres voor een bepaald bestand, commando's uitvoering, verwijderen van bestanden, Uitvoeren van HTTP-toegangsopdracht, bestanden lijst, directory maken, uploaden van bestanden en lijst met wachtwoorden,
Een verdere update van de hackers heeft ook de mogelijkheid toegevoegd om toe te voegen labels, een onderscheidend kenmerk van deze QNodeService Node.js Trojan is dat het de HTTP forward-optie kan gebruiken om verschillende bestanden te downloaden zonder een directe verbinding te maken. Aangezien dit type virussen zijn gemaakt met de bedoeling zoveel mogelijk gebruikers te infecteren en ontworpen om te draaien op een populair besturingssysteem, verwachten we dat er verdere updates zullen worden uitgegeven. Node.js-code kan zelfs op mobiele apparaten worden uitgevoerd — smartphones en tablets. Andere veelgebruikte phishingtactieken kunnen ook worden gebruikt om ze te verzenden.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: