As campanhas de phishing do Covid-19 estão em ascensão, pois os criminosos estão aproveitando o surto de pandemia de vírus. A carga útil mais recente, que é um Trojan Node.js, também conhecido como QnodeService. De acordo com as informações disponíveis, a taxa de detecção é muito baixa e baixada por um script Java.
Trojan QNodeService Node.Js anteriormente não detectado entregue via mensagens de phishing Covid-19
Um novo Trojan Node.js foi detectado em uma campanha de phishing caracterizada como uma ameaça com uma taxa de detecção muito baixa. A campanha faz uso de notificações falsas por e-mail de isenção de imposto que incluem um anexo de arquivo no formato jar — um formato de pacote Java. A mensagem tem como objetivo manipular as vítimas e acreditar que elas estão recebendo documentos importantes e deve abri-las. Quando eles são abertos, esse arquivo Java leva à infecção pelo QNodeService Trojan.
Em comparação com outros malwares desta categoria, a escolha do Node.js como idioma de programação preferido é uma opção não padrão. Uma das razões pelas quais foi escolhida é que ela pode ser interpretada por todos os navegadores da web modernos e isso permite que ela seja multiplataforma. Além disso, como é entregue por meio de um conta-gotas Java, pode evitar algumas verificações de antivírus.
Assim que o arquivo Java for acionado, ele executará algumas verificações preliminares do sistema antes de implantar o malware. Ele verificará a arquitetura do sistema e fará o download da respectiva versão do vírus em um site remoto de hackers — ambos 32 e plataformas de 64 bits são suportadas. Ele também fará o download de um arquivo auxiliar usado para estabelecer uma conexão com o servidor controlado por hackers.
Operação de Trojan QNodeService: Como o malware funciona
A infecção real pelo Trojan QNodeService começará por se definir como um ameaça persistente adicionando uma entrada no Registro do Windows e entregando outra carga útil. O malware é escrito pelos hackers para ser estendido — o código Node.js permite que seja executado em várias plataformas e também pode carregar outros módulos que podem ser implementados em ataques futuros.
A lista completa de comandos suportados inclui o seguinte:
redownloading do malware, remoção de valores do Registro do Windows, coleta de informações de endereço de rede, etiqueta retornando, geração de uma assinatura única, recuperação de informações de arquitetura e plataforma, download do diretório de perfil do usuário, recuperação do endereço completo do caminho para um determinado arquivo, execução de comandos, remoção de arquivos, Execução do comando HTTP forward access access, lista de arquivos, criação de diretório, upload de arquivos e listagem de senhas,
Uma atualização adicional emitida pelos hackers também adicionou a capacidade de adicionar Tag, Uma característica distintiva deste Trojan QNodeService Node.js é que ele pode usar a opção de encaminhamento HTTP para baixar vários arquivos sem fazer uma conexão direta. Como esse tipo de vírus é criado com a intenção de infectar o maior número possível de usuários e projetado para ser executado no sistema operacional popular, esperamos que mais atualizações sejam lançadas.. O código Node.js pode ser executado mesmo em dispositivos móveis — smartphones e tablets. Outras táticas comuns de phishing também podem ser usadas para enviá-las.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: