QNode RAT

Los investigadores de infosec han detectado una nueva campaña amenazante que genera la amenaza del troyano de acceso remoto (RAT) denominada QNode RAT. La distribución de este malware amenazante se logra mediante la difusión de correos electrónicos no deseados que contienen archivos adjuntos con malware. Sin embargo, las personas responsables de la operación parecen un poco amateur, a juzgar por el hecho de que ciertas partes de los correos electrónicos de señuelos parecen estar en total disonancia entre sí. De hecho, el asunto y el cuerpo de los correos electrónicos no deseados están diseñados para tener la apariencia de un préstamo o una oferta de inversión. Al mismo tiempo, sin embargo, los archivos adjuntos corruptos aparentemente quieren aprovechar los recientes eventos caóticos en los EE. UU. Causados por las elecciones presidenciales al tener nombres como 'TRUMP_SEX_SCANDAL_VIDEO.jar'.

Dentro de este archivo hay una nueva variante basada en los descargadores QRAT de Node.Js que los expertos en seguridad de la información denominaron QNODE DOWNLOADER. Si bien el objetivo final sigue siendo la entrega de la amenaza QNode RAT en el dispositivo comprometido, el propio descargador muestra algunas mejoras y desviaciones distintas del comportamiento de las variantes anteriores. Primero, el archivo JAR en sí es notablemente más grande. La amenaza también muestra una ventana GUI que advierte a los usuarios que el programa que han iniciado es un software de acceso remoto empleado principalmente en pruebas de penetración. Cabe señalar que la amenaza no se involucrará en ninguna actividad amenazante a menos que los usuarios hagan clic en "Ok, sé lo que estoy haciendo". botón de la ventana GUI. El descargador también tiene una supuesta licencia ISC integrada en su código.

La entrega de la carga útil de la siguiente etapa también se ha simplificado. En la versión más reciente, solo se necesita proporcionar la dirección de Comando y Control (C&C, C2) de los servidores, y el argumento '--hub-domain' son los únicos requisitos para configurar el proceso Node.Js responsable de descargar la carga útil para el siguiente paso en el ataque. También se ha observado un cambio en el mecanismo de persistencia del QNODE DOWNLOADER. En lugar de ser relegado a una carga útil de segunda etapa llamada 'wizard.js', esa tarea ahora es manejada por una carga útil llamada 'boot.js.' La persistencia se logra mediante la creación de un script VBS en% userprofile% \ qhub \ node \ 2.0.10 \ boot.vbs, que se inyecta en la clave de registro HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run posteriormente.

El QNode RAT es la carga útil final en la cadena de ataque, y parece una versión más simple en comparación con algunas de sus versiones anteriores, con una gama más pequeña de funcionalidades. Aún así, QNode RAT es extremadamente amenazante y es capaz de manipular archivos, recolectar información del sistema, recuperar contraseñas que pertenecen a aplicaciones específicas, además de tener la capacidad de eliminar su mecanismo de persistencia.

Por el momento, los correos electrónicos de entrega utilizados en la campaña son bastante sospechosos y, obviamente, no es probable que mucha gente se enamore de ellos. Sin embargo, si los piratas informáticos crean un mensaje más coherente, los usuarios deberán estar más atentos para evitar que el malware entre en sus sistemas informáticos.