Nuova Variante di QRAT Distribuita Tramite Campagna di Spam a Tema Trump

I cyber-criminali approfittano costantemente dei temi mediatici più “caldi” per attirare vittime e infettarle con malware. Questa volta gli hacker hanno deciso di trarre profitto dall’attenzione suscitata dalle ultime elezioni presidenziali statunitensi e hanno lanciato una campagna di spam a tema Donald Trump. L’obiettivo finale di questa operazione è distribuire l’ultima variante del malware QRAT Trojan, chiamata QNode. Analogamente al suo predecessore, QNode potrebbe effettuare il dumping delle password, estrarre i dati sensibili degli utenti e fornire il controllo remoto del computer della vittima.

Che cos’è il Malware QRAT?

Quaverse Remote Access Trojan (QRAT) è apparso per la prima volta emerse nel maggio 2015 come un malware basato su Java altamente offuscato promosso nel dark web tramite un modello di “malware-as-a-service” (MaaS). Il Trojan è tipicamente distribuito attraverso truffe di phishing sotto forma di allegati Java Archive (JAR). In caso di download, il file JAR recupera un loader di seconda fase basato su Node.JS responsabile della persistenza e dell’esecuzione del payload finale. Il payload principale è anch’esso scritto in Node.Js, con i suoi moduli di codice oscurati con Allatori Obfuscator per evitare il rilevamento. È degno di nota che il downloader QRAT è in grado di attaccare solo ambienti Windows. Tuttavia, la composizione di Node.Js suggerisce che presto potrebbero emergere nuove varianti cross-platform.

L’arsenale dannoso del Trojan QRAT è piuttosto impressionante. In particolare, il malware è in grado di eseguire il dumping delle password dalle applicazioni di sistema, scattare schermate, eseguire keylogging e condurre la navigazione dei file. Di conseguenza, gli avversari potrebbero ottenere pieno accesso al computer mirato e recuperare una vasta gamma di dati sensibili.

Campagna di Malspam QNode

I ricercatori di sicurezza stanno osservando un aumento significativo nelle campagne di phishing mirate all’infezione da malware QRAT. L’ultima operazione di phishing sotto i riflettori è piuttosto interessante. L’attacco inizia con un’email di phishing che ha come oggetto “OFFERTA DI PRESTITO BUONA!!”. Anche se può sembrare una comune truffa di investimento, il file allegato è completamente estraneo a questo argomento. In particolare, è denominato come “TRUMP_SEX_SCANDAL_VIDEO”, presumibilmente nel tentativo di sfruttare il clamore evidente attorno al Presidente uscente degli Stati Uniti. In caso di download, il file dannoso infetta i PC delle vittime con QNode, l’ultima variante di QRAT.

L’analisi di QNode mostra che gli operatori di malware hanno significativamente migliorato la funzionalità del Trojan. Per rendere il downloader QNode più evasivo, il suo codice è ora suddiviso tra diversi file all’interno del JAR. Inoltre, è stata aggiunta una GUI e una falsa Licenza ISC di Microsoft per rendere l’installazione del malware meno sospetta. Infine, i file creati e caricati dal malware sono ora spostati fuori dalla cartella di installazione di Node.JS e rinominati. Tale miglioramento contribuisce alla capacità di QNode di passare inosservato. Le capacità dannose di QNode sono quasi le stesse delle versioni precedenti, supportando il dumping delle password da Chrome, Firefox, Thunderbird e Outlook. shows that malware operators have significantly improved Trojan’s functionality. To make QNode downloader more evasive, its code is now split across different files inside the JAR. Also, a GUI and a fake Microsoft ISC License were added to make the malware installation less suspicious. Finally, the files created and loaded by malware are now moved out of Node.JS installation folder and renamed. Such an improvement contributes to QNode’s ability to fly under the radar. QNode’s malicious capabilities are almost the same as in previous versions, supporting password-dumping from Chrome, Firefox, Thunderbird, and Outlook. 

Rilevamento del Malware QRAT

Per migliorare il rilevamento del Trojan QRAT, puoi scaricare l’ultima regola Sigma da Osman Demir, uno dei più prolifici contributori alla nostra libreria di contenuti del Threat Detection Marketplace SOC:

https://tdm.socprime.com/tdm/info/b9Lq6emcCgOs/y8eY9nYBTwmKwLA9R8cw/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.

EDR: Microsoft Defender ATP, Carbon Black

MITRE ATT&CK:

Tattiche: Accesso Iniziale, Evasione della Difesa

Tecniche: Allegato Spearphishing (T1566), Modifica dei Permessi di File e Directory (T1222)

Iscriviti al Threat Detection Marketplace gratuitamente per accedere a più elementi di contenuto SOC rilevanti etichettati con particolari CVE, TTP utilizzati da gruppi APT e multiple parametri MITRE ATT&CK®. Sei pronto a contribuire alle iniziative di caccia alle minacce? Unisciti al nostro programma Threat Bounty per arricchire la libreria di contenuti SOC e condividerla con la comunità del Threat Detection Marketplace.