Nouvelle variante de QRAT distribuée via une campagne de spam sur le thème de Trump

Les cybercriminels profitent constamment des sujets médiatiques les plus « chauds » pour attirer des victimes et les infecter avec des logiciels malveillants. Cette fois-ci, les hackers ont décidé de tirer profit de l’attention accrue portée aux dernières élections présidentielles américaines et ont lancé une campagne de spam sur le thème de Donald Trump. Le but final de cette opération est de distribuer la dernière variante de malware QRAT, appelée QNode. À l’instar de son prédécesseur, QNode peut effectuer l’extraction de mots de passe, extraire les données sensibles des utilisateurs et fournir un contrôle à distance de la machine de la victime.

Qu’est-ce que le malware QRAT ?

Quaverse Remote Access Trojan (QRAT) a d’abord émergé en mai 2015 en tant que malware hautement obscurci basé sur Java promu sur le dark web via un schéma « malware-as-a-service » (MaaS). Le cheval de Troie est généralement distribué par le biais d’escroqueries de phishing sous forme de pièces jointes Java Archive (JAR). En cas de téléchargement, le fichier JAR récupère un chargeur de deuxième étage Node.JS responsable de la persistance et de l’exécution de la charge utile finale. La charge principale est également écrite en Node.Js, ses modules de code étant obscurcis avec Allatori Obfuscator pour échapper à la détection. Notamment, le téléchargeur QRAT est capable d’attaquer uniquement les environnements Windows. Cependant, la composition Node.Js suggère que de nouvelles variantes multiplateformes pourraient voir le jour bientôt.

L’arsenal malveillant du cheval de Troie QRAT est assez impressionnant. En particulier, le malware est capable de vider les mots de passe des applications système, de prendre des captures d’écran, d’effectuer une journalisation des touches et de naviguer dans les fichiers. En conséquence, les adversaires pourraient obtenir un accès complet à la machine ciblée et récupérer un large éventail de données sensibles.

Campagne de malspam QNode

Les chercheurs en sécurité observent une augmentation significative des campagnes de phishing visant l’infection par le malware QRAT. La dernière opération de phishing sous les projecteurs est assez intéressante. L’attaque commence par un email de phishing ayant pour ligne d’objet « BONNE OFFRE DE PRÊT !! ». Bien que cela ressemble à une escroquerie d’investissement typique, le fichier joint est complètement sans rapport avec ce sujet. En particulier, il est nommé « TRUMP_SEX_SCANDAL_VIDEO », probablement dans une tentative d’exploiter la forte médiatisation autour du président américain sortant. En cas de téléchargement, le fichier malveillant infecte les PCs des victimes avec QNode, la dernière variante QRAT.

L’analyse de QNode montre que les opérateurs de malware ont considérablement amélioré les fonctionnalités du cheval de Troie. Pour rendre le téléchargeur QNode plus furtif, son code est maintenant réparti sur différents fichiers à l’intérieur du JAR. De plus, une interface utilisateur graphique et une fausse licence Microsoft ISC ont été ajoutées pour rendre l’installation du malware moins suspecte. Enfin, les fichiers créés et chargés par le malware sont maintenant déplacés hors du dossier d’installation de Node.JS et renommés. Une telle amélioration contribue à la capacité de QNode à passer inaperçu. Les capacités malveillantes de QNode sont presque les mêmes que dans les versions précédentes, soutenant l’extraction de mots de passe depuis Chrome, Firefox, Thunderbird et Outlook. shows that malware operators have significantly improved Trojan’s functionality. To make QNode downloader more evasive, its code is now split across different files inside the JAR. Also, a GUI and a fake Microsoft ISC License were added to make the malware installation less suspicious. Finally, the files created and loaded by malware are now moved out of Node.JS installation folder and renamed. Such an improvement contributes to QNode’s ability to fly under the radar. QNode’s malicious capabilities are almost the same as in previous versions, supporting password-dumping from Chrome, Firefox, Thunderbird, and Outlook. 

Détection de Malware QRAT

Pour améliorer la détection du cheval de Troie QRAT, vous pouvez télécharger la dernière règle Sigma depuis Osman Demir, l’un des contributeurs les plus prolifiques de notre bibliothèque de contenu SOC du Threat Detection Marketplace :

https://tdm.socprime.com/tdm/info/b9Lq6emcCgOs/y8eY9nYBTwmKwLA9R8cw/

La règle a des traductions vers les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.

EDR : Microsoft Defender ATP, Carbon Black

MITRE ATT&CK :

Tactiques : Accès initial, Evasion de défense

Techniques : Piège par pièce jointe (T1566), Modification des permissions de fichiers et de répertoires (T1222)

Abonnez-vous au Threat Detection Marketplace gratuitement pour accéder à plus d’éléments de contenu SOC pertinents étiquetés avec des CVE particuliers, des TTPs utilisés par les groupes APT, et plusieurs paramètres MITRE ATT&CK®. Prêt à contribuer aux initiatives de chasse aux menaces ? Rejoignez notre programme Threat Bounty pour enrichir la bibliothèque de contenu SOC et la partager avec la communauté du Threat Detection Marketplace.