محققان امنیت سایبری یک کمپین جدید را کشف و منتشر کردهاند که با ادعای حاوی یک فیلم رسوایی جنسی از دونالد ترامپ، رئیس جمهور ایالات متحده، یک Trojan دسترسی از راه دور (RAT) را توزیع میکند.
این ایمیل ها با عنوان “GOOD LOAN OFFER!!” همراه با پرونده جاوا (JAR) به نام “TRUMP_S*E*X_SCANDAL_VIDEO.jar” است که هنگام بارگیری Qua یا (Quaverse RAT (QRAT را بر روی سیستم نفوذی نصب میکند.
زنجیره ابتلا با یک پیام هرزنامه حاوی یک پیوست تعبیه شده یا پیوندی که به یک فایل زیپ مخرب اشاره میکند شروع میشود و هر یک از آنها یک پرونده (“JAR (“Spec#0034.jar را بازیابی میکند که با استفاده از Allatori Java obfuscator مخلوط میشود.
این بارگیری کننده مرحله اول پلتفرم Node.Js را بر روی سیستم نصب کرده و سپس، مرحله دوم به نام “wizard.js” را بارگیری و اجرا میکند که مسئول ماندگاری و واکشی و اجرای (“Qnode RAT (“qnode-win32-ia32.js از یک سرور کنترل شده توسط مهاجم است.
QRAT یک Trojan دسترسی از راه دور معمولی است که دارای ویژگیهای مختلفی از جمله: به دست آوردن اطلاعات سیستم، انجام عملیات روی پروندهها و کسب اعتبارنامه از برنامههایی مانندGoogle Chrome : Firefox ،Thunderbird و Microsoft Outlook است.
آنچه این بار تغییر کرده گنجاندن هشدار پاپآپ جدید است که به قربانی اطلاع میدهد که JAR در حال اجرا یک نرمافزار دسترسی از راه دور است که برای تست نفوذ استفاده میشود. این همچنین بدان معناست که رفتار مخرب فقط زمانی شروع به آشکار شدن میکند که کاربر روی “Ok, I know what I am doing.” کلیک می کند.
این پاپآپ کمی عجیب است و شاید تلاشی برای قانونی جلوه دادن نرمافزار یا سلب مسئولیت از نویسندگان اصلی نرمافزار باشد.
علاوه بر این کد مخرب بارگیری کننده JAR به منظور جلوگیری از شناسایی به بافرهای مختلف با شمارههای تصادفی تقسیم میشود.
از دیگر تغییرات میتوان به افزایش کلی اندازه پرونده JAR و حذف بارگیری کننده مرحله دوم به نفع بدافزار به روز شدهای اشاره کرد که بلافاصله QRAT را که اکنون “boot.js” نامیده میشود بارگیری میکند.
یک نظر