Nueva Variante de QRAT Distribuida a través de Campaña de Spam Temática de Trump

[post-views]
enero 15, 2021 · 4 min de lectura
Nueva Variante de QRAT Distribuida a través de Campaña de Spam Temática de Trump

Los ciberdelincuentes constantemente aprovechan los temas mediáticos “más candentes” para atraer a las víctimas e infectarlas con malware. Esta vez, los hackers decidieron beneficiarse de la atención incrementada a las últimas elecciones presidenciales en EE.UU. y lanzaron una campaña de spam con el tema de Donald Trump. El objetivo final de esta operación es distribuir la última variante del malware troyano QRAT, apodado QNode. Al igual que su predecesor, QNode podría realizar volcado de contraseñas, extraer datos sensibles de los usuarios y proporcionar control remoto de la máquina de la víctima.

¿Qué es el malware QRAT?

Quaverse Remote Access Trojan (QRAT) primero surgió en mayo de 2015 como un malware altamente ofuscado basado en Java promovido en la dark web a través del esquema “malware como servicio” (MaaS). El troyano generalmente se distribuye a través de estafas de phishing en forma de archivos adjuntos Java Archive (JAR). En caso de ser descargado, el archivo JAR obtiene un cargador de segunda etapa Node.JS responsable de la persistencia y ejecución de la carga útil final. La carga útil principal también está escrita en Node.Js, con sus módulos de código oscurecidos con Allatori Obfuscator para evadir la detección. Notablemente, el descargador QRAT solo puede atacar entornos Windows. Sin embargo, la composición de Node.Js sugiere que pronto podrían surgir nuevas variantes multiplataforma. 

El arsenal malicioso del troyano QRAT es bastante impresionante. Particularmente, el malware es capaz de volcar contraseñas de las aplicaciones del sistema, tomar capturas de pantalla, realizar registro de teclas y llevar a cabo navegación de archivos. Como resultado, los adversarios podrían obtener acceso completo a la máquina objetivo y recuperar una amplia gama de datos sensibles. 

Campaña de malspam QNode 

Los investigadores de seguridad están observando un aumento significativo en las campañas de phishing dirigidas a la infección con malware QRAT. La última operación de phishing en el centro de atención es bastante interesante. El ataque comienza con un correo electrónico de phishing que tiene la línea de asunto “¡OFERTA DE PRÉSTAMO MUY BUENA!”. Aunque parece una típica estafa de inversión, el archivo adjunto no tiene relación con este tema. Particularmente, está nombrado como “TRUMP_SEX_SCANDAL_VIDEO”, presumiblemente en un intento de explotar el notable entusiasmo en torno al presidente saliente de EE.UU. En caso de ser descargado, el archivo malicioso infecta las PC de las víctimas con QNode, la última variante de QRAT.

El análisis de QNode muestra que los operadores de malware han mejorado significativamente la funcionalidad del troyano. Para hacer el descargador QNode más evasivo, su código ahora está dividido en diferentes archivos dentro del JAR. Además, se añadió una GUI y una licencia falsa de Microsoft ISC para que la instalación del malware sea menos sospechosa. Finalmente, los archivos creados y cargados por el malware ahora se mueven fuera de la carpeta de instalación de Node.JS y se renombran. Tal mejora contribuye a la habilidad de QNode para pasar desapercibido. Las capacidades maliciosas de QNode son casi las mismas que en versiones anteriores, soportando el volcado de contraseñas de Chrome, Firefox, Thunderbird y Outlook. 

Detección de malware QRAT

Para mejorar la detección del troyano QRAT, puede descargar la última regla Sigma de Osman Demir, uno de los contribuyentes más prolíficos de nuestra biblioteca de contenido del Mercado de Detección de Amenazas SOC:

https://tdm.socprime.com/tdm/info/b9Lq6emcCgOs/y8eY9nYBTwmKwLA9R8cw/

La regla tiene traducciones para las siguientes plataformas: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.

EDR: Microsoft Defender ATP, Carbon Black

MITRE ATT&CK: 

Tácticas: Acceso Inicial, Evasión de Defensa

Técnicas: Anexo de Phishing Dirigido (T1566), Modificación de Permisos de Archivos y Directorios (T1222)

Suscribirse al Mercado de Detección de Amenazas de forma gratuita para acceder a más elementos de contenido SOC relevantes etiquetados con CVE particulares, TTPs utilizados por grupos APT y múltiples parámetros de MITRE ATT&CK®. ¿Listo para contribuir a las iniciativas de búsqueda de amenazas? Únase a nuestro programa Threat Bounty para enriquecer la biblioteca de contenido SOC y compartirlo con la comunidad del Mercado de Detección de Amenazas.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Malware Koske: Nueva Amenaza Linux Generada con IA en Circulación 6 min de lectura Últimas Amenazas Detección de Malware Koske: Nueva Amenaza Linux Generada con IA en Circulación by Veronika Telychko CyberLock, Lucky_Gh0$t y la Detección de Numero: Hackers Arman Instaladores Falsos de Herramientas de IA para Ataques de Ransomware y Malware 7 min de lectura Últimas Amenazas CyberLock, Lucky_Gh0$t y la Detección de Numero: Hackers Arman Instaladores Falsos de Herramientas de IA para Ataques de Ransomware y Malware by Veronika Telychko Detección de Noodlophile Stealer: Nuevo Malware Distribuido a Través de Herramientas Falsas de Generación de Video con IA 4 min de lectura Últimas Amenazas Detección de Noodlophile Stealer: Nuevo Malware Distribuido a Través de Herramientas Falsas de Generación de Video con IA by Veronika Telychko
Todas las noticias