Cybesecurity研究人員今天觀察到一個(gè)惡意垃圾郵件活動(dòng)，該活動(dòng)通過發(fā)布美國(guó)總統(tǒng)唐納德·特朗普（Donald Trump）的丑聞假視頻來傳播遠(yuǎn)程訪問木馬（RAT）。

電子郵件的主題為“ GOOD LOAN OFFER !!”，附帶一個(gè)名為“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存檔（JAR）文件，一旦被下載，該文件會(huì)將Qua或Quaverse RAT（QRAT）安裝到系統(tǒng)中。

Trustwave高級(jí)安全研究員戴安娜·洛帕（Diana Lopera）在文章中說：“我們懷疑，黑客正試圖利用最近結(jié)束的總統(tǒng)大選的噱頭進(jìn)行網(wǎng)絡(luò)犯罪活動(dòng)?！?/p>

最新的惡意活動(dòng)是八月份發(fā)現(xiàn)的基于Windows的QRAT下載器的變體。

感染鏈從包含嵌入式附件或指向惡意zip文件的鏈接的垃圾郵件開始，它們均會(huì)檢索使用Allatori?Java混淆器加擾的JAR文件（“ Spec＃0034.jar”）。

第一階段下載程序?qū)ode.Js平臺(tái)設(shè)置到系統(tǒng)上，下載并執(zhí)行稱為“ wizard.js”的第二階段下載程序，該程序負(fù)責(zé)持久獲取并運(yùn)行Qnode RAT（“ qnode-win32-ia32。 js”）。

QRAT是典型的遠(yuǎn)程訪問木馬，具有獲取系統(tǒng)信息、執(zhí)行文件操作以及從Google Chrome、Firefox、Thunderbird和Microsoft Outlook等應(yīng)用程序獲取憑據(jù)的功能。

這次惡意活動(dòng)的變化是包含了一個(gè)新的彈出警報(bào)，該警報(bào)會(huì)通知受害者正在運(yùn)行的JAR是用于滲透測(cè)試的遠(yuǎn)程訪問軟件。這也意味著，一旦用戶單擊“確定”按鈕，該樣本的惡意行為就會(huì)開始顯現(xiàn)。

此外，JAR下載程序的惡意代碼被分為不同的隨機(jī)編號(hào)的緩沖區(qū)以逃避檢測(cè)。

其他變化包括JAR文件大小的增加以及為更新的惡意軟件鏈而取消了第二階段的下載程序，更新的惡意軟件鏈可立即獲取QRAT有效負(fù)載（現(xiàn)稱為“ boot.js”）。

就其本身而言，RAT除了通過VBS腳本負(fù)責(zé)保持在目標(biāo)系統(tǒng)上的持久性外，還使用了base64編碼對(duì)代碼進(jìn)行了加密。

Topera總結(jié)說：“自我們首次檢查以來，該惡意軟件的威脅已大大增強(qiáng)。”他敦促管理員在電子郵件安全網(wǎng)關(guān)中阻止傳入的JAR。

消息及封面來源：The Hacker News，譯者：江。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/