Nova Variante do QRAT Distribuída através de Campanha de Spam com Tema de Trump
Índice:
Cibercriminosos constantemente aproveitam os temas mais “quentes” da mídia para atrair vítimas e infectá-las com malware. Desta vez, os hackers decidiram lucrar com a atenção aumentada às últimas eleições presidenciais dos EUA e lançaram uma campanha de spam temática de Donald Trump. O objetivo final desta operação é distribuir a variante mais recente do malware Trojan QRAT, chamado QNode. Da mesma forma que seu antecessor, o QNode pode realizar o despejo de senhas, extrair dados sensíveis dos usuários e fornecer controle remoto da máquina da vítima.
O que é o Malware QRAT?
Quaverse Remote Access Trojan (QRAT) surgiu em maio de 2015 como um malware altamente ofuscado baseado em Java, promovido na dark web via esquema “malware-como-serviço” (MaaS). O Trojan é normalmente distribuído via golpes de phishing na forma de anexos de Java Archive (JAR). Caso baixado, o arquivo JAR busca um carregador de segunda fase em Node.JS responsável pela persistência e execução da carga final. A carga principal também é escrita em Node.Js, tendo seus módulos de código obscurecidos com Allatori Obfuscator para escapar da detecção. Notavelmente, o downloader do QRAT é capaz de atacar apenas ambientes Windows. No entanto, a composição em Node.Js sugere que novas variantes multiplataformas podem surgir em breve. in May 2015 as a highly obfuscated Java-based malware promoted on the dark web via “malware-as-a-service” (MaaS) scheme. The Trojan is typically distributed via phishing scams in a form of Java Archive (JAR) attachments. In case downloaded, the JAR file fetches a Node.JS second-stage loader responsible for persistence and execution of the final payload. The main payload is also written in Node.Js, having its code modules obscured with Allatori Obfuscator to evade detection. Notably, the QRAT downloader is able to attack only Windows environments. However, Node.Js composition suggests new cross-platform variants might emerge soon.
O arsenal malicioso do Trojan QRAT é bastante impressionante. Particularmente, o malware é capaz de despejar senhas de aplicativos do sistema, tirar capturas de tela, realizar keylogging e conduzir a navegação de arquivos. Como resultado, os adversários poderiam ganhar acesso total à máquina visada e recuperar uma vasta gama de dados sensíveis.
Campanha de Malspam QNode
Pesquisadores de segurança estão observando um aumento significativo em campanhas de phishing destinadas à infecção por malware QRAT. A mais recente operação de phishing em destaque é bastante interessante. O ataque começa com um e-mail de phishing que tem a linha de assunto “BOA OFERTA DE EMPRÉSTIMO!!”. Embora pareça ser um golpe de investimento típico, o arquivo anexado é completamente não relacionado a este tópico. Particularmente, ele é nomeado como “TRUMP_SEX_SCANDAL_VIDEO,” presumivelmente em uma tentativa de explorar a hype notável em torno do presidente dos EUA de saída. Caso baixado, o arquivo malicioso infecta os PCs das vítimas com QNode, a variante mais recente do QRAT.
A análise de QNode mostra que os operadores de malware melhoraram significativamente a funcionalidade do Trojan. Para tornar o downloader de QNode mais evasivo, seu código agora está dividido entre diferentes arquivos dentro do JAR. Além disso, uma interface gráfica e uma licença falsa da Microsoft ISC foram adicionadas para tornar a instalação do malware menos suspeita. Finalmente, os arquivos criados e carregados pelo malware agora são movidos para fora da pasta de instalação do Node.JS e renomeados. Tal melhoria contribui para a capacidade do QNode de passar despercebido. As capacidades maliciosas do QNode são quase as mesmas das versões anteriores, suportando o despejo de senhas do Chrome, Firefox, Thunderbird e Outlook. shows that malware operators have significantly improved Trojan’s functionality. To make QNode downloader more evasive, its code is now split across different files inside the JAR. Also, a GUI and a fake Microsoft ISC License were added to make the malware installation less suspicious. Finally, the files created and loaded by malware are now moved out of Node.JS installation folder and renamed. Such an improvement contributes to QNode’s ability to fly under the radar. QNode’s malicious capabilities are almost the same as in previous versions, supporting password-dumping from Chrome, Firefox, Thunderbird, and Outlook.
Detecção de Malware QRAT
Para melhorar a detecção do Trojan QRAT, você pode baixar a regra Sigma mais recente de Osman Demir, um dos colaboradores mais prolíficos da nossa biblioteca de conteúdo do Threat Detection Marketplace SOC:
https://tdm.socprime.com/tdm/info/b9Lq6emcCgOs/y8eY9nYBTwmKwLA9R8cw/
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Táticas: Acesso Inicial, Evasão de Defesa
Técnicas: Anexo de Spearphishing (T1566), Modificação de Permissões de Arquivos e Diretórios (T1222)
Inscreva-se no Threat Detection Marketplace gratuitamente para acessar mais itens de conteúdo SOC relevantes marcados com CVE, TTPs usados por grupos APT e múltiplos parâmetros do MITRE ATT&CK®. Pronto para contribuir com as iniciativas de caça a ameaças? Junte-se ao nosso programa Threat Bounty para enriquecer a biblioteca de conteúdo SOC e compartilhá-la com a comunidade do Threat Detection Marketplace.
