Neuer QRAT-Variant Verbreitet über Trump-Themen-Spam-Kampagne
Inhaltsverzeichnis:
Cyber-Kriminelle nutzen ständig die „heißesten“ Medienthemen, um Opfer zu locken und sie mit Malware zu infizieren. Dieses Mal beschlossen Hacker, von der erhöhten Aufmerksamkeit auf die letzten US-Präsidentschaftswahlen zu profitieren und eine Donald Trump-bezogene Spam-Kampagne zu starten. Das endgültige Ziel dieser Operation ist die Verbreitung der neuesten QRAT Trojaner-Malware-Variante, genannt QNode. Ähnlich wie bei seinem Vorgänger könnte QNode Passwort-Dumps durchführen, sensible Benutzerdaten extrahieren und die Fernsteuerung des Rechners des Opfers ermöglichen.
Was ist QRAT Malware?
Quaverse Remote Access Trojan (QRAT) tauchte erstmals im Mai 2015 auf als stark verschleierte, Java-basierte Malware, die im Dark Web über ein „Malware-as-a-Service“ (MaaS)-Schema beworben wurde. Der Trojaner wird typischerweise über Phishing-Betrügereien in Form von Java Archive (JAR)-Anhängen verbreitet. Im Falle eines Downloads lädt die JAR-Datei einen Node.JS Loader der zweiten Stufe, der für die Persistenz und Ausführung der endgültigen Nutzlast verantwortlich ist. Die Hauptnutzlast ist ebenfalls in Node.Js geschrieben, wobei ihre Codemodule mit Allatori Obfuscator verschleiert sind, um einer Erkennung zu entgehen. Bemerkenswerterweise kann der QRAT-Downloader nur Windows-Umgebungen angreifen. Die Zusammensetzung von Node.Js deutet jedoch darauf hin, dass bald neue plattformübergreifende Varianten auftauchen könnten.
Das bösartige Arsenal des QRAT Trojaners ist ziemlich beeindruckend. Insbesondere kann die Malware Passwörter von den Systemanwendungen dumpen, Screenshots machen, Keylogging durchführen und Dateibrowsing betreiben. Infolgedessen könnten Angreifer vollen Zugriff auf die angegriffene Maschine erlangen und eine breite Palette sensibler Daten abrufen.
QNode Malspam-Kampagne
Sicherheitsforscher beobachten einen signifikanten Anstieg der Phishing-Kampagnen, die auf eine QRAT-Malware-Infektion abzielen. Die neueste Phishing-Operation im Rampenlicht ist ziemlich interessant. Der Angriff beginnt mit einer Phishing-E-Mail, die die Betreffzeile „GUTES KREDITANGEBOT!!“ trägt. Obwohl es wie ein typischer Investitionsbetrug aussieht, ist die angehängte Datei völlig unverwandt mit diesem Thema. Insbesondere ist sie als „TRUMP_SEX_SCANDAL_VIDEO“ benannt, vermutlich um die auffällige Aufmerksamkeit um den scheidenden US-Präsidenten auszunutzen. Im Falle eines Downloads infiziert die bösartige Datei die PCs der Opfer mit QNode, der neuesten QRAT-Variante. a significant surge in phishing campaigns aimed at QRAT malware infection. The latest phishing operation in the spotlight is quite interesting. The attack starts with a phishing email that has the subject line “GOOD LOAN OFFER!!.” Although it looks like a typical investment scam, the attached file is completely unrelated to this topic. Particularly, it is named as “TRUMP_SEX_SCANDAL_VIDEO,” presumably in an attempt to exploit the noticeable hype surrounding the outgoing US President. In case downloaded, the malicious file infects victims’ PCs with QNode, the latest QRAT variant.
Die Analyse von QNode zeigt, dass die Malware-Operatoren die Funktionalität des Trojaners erheblich verbessert haben. Um den QNode-Downloader unauffälliger zu machen, ist sein Code jetzt über verschiedene Dateien innerhalb des JAR aufgeteilt. Außerdem wurden eine GUI und eine gefälschte Microsoft ISC-Lizenz hinzugefügt, um die Malware-Installation weniger verdächtig zu machen. Schließlich werden die von der Malware erstellten und geladenen Dateien jetzt aus dem Node.JS-Installationsordner verschoben und umbenannt. Eine solche Verbesserung trägt zur Fähigkeit von QNode bei, unter dem Radar zu bleiben. Die schädlichen Fähigkeiten von QNode sind fast gleich wie in früheren Versionen, unterstützen das Passwort-Dumping von Chrome, Firefox, Thunderbird und Outlook. shows that malware operators have significantly improved Trojan’s functionality. To make QNode downloader more evasive, its code is now split across different files inside the JAR. Also, a GUI and a fake Microsoft ISC License were added to make the malware installation less suspicious. Finally, the files created and loaded by malware are now moved out of Node.JS installation folder and renamed. Such an improvement contributes to QNode’s ability to fly under the radar. QNode’s malicious capabilities are almost the same as in previous versions, supporting password-dumping from Chrome, Firefox, Thunderbird, and Outlook.
QRAT Malware-Erkennung
Um die Erkennung des QRAT Trojaners zu verbessern, können Sie die neueste Sigma-Regel von Osman Demir, einem der produktivsten Mitwirkenden an unserer Threat Detection Marketplace SOC-Inhaltsbibliothek, herunterladen:
https://tdm.socprime.com/tdm/info/b9Lq6emcCgOs/y8eY9nYBTwmKwLA9R8cw/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Taktiken: Initial Access, Defense Evasion
Techniken: Spearphishing-Anhang (T1566), Datei- und Verzeichnisberechtigungsänderung (T1222)
Abonnieren Sie den Threat Detection Marketplace kostenlos, um mehr relevante SOC-Inhaltsartikel zu erreichen, die mit bestimmten CVE, TTPs, die von APT-Gruppen verwendet werden, und mehreren MITRE ATT&CK®-Parametern getaggt sind. Bereit, sich an den Bedrohungsjagdinitiativen zu beteiligen? Treten Sie unserem Threat Bounty-Programm bei, um die SOC-Inhaltsbibliothek zu bereichern und sie mit der Threat Detection Marketplace-Community zu teilen.
