Un nouveau TROJAN cheval de Troie promet aux victimes un allègement fiscal pour COVID-19
La base de code de QNodeService l'a peut-être aidé à éviter la détection par les solutions antivirus traditionnelles.
Un nouvel échantillon de logiciels malveillants cheval de Troie est apparu sur le radar des chercheurs en cybersécurité suite à des preuves qu'il pourrait être utilisé dans des schémas de phishing liés aux coronavirus.
Remarqué pour la première fois par MalwareHunterTeam , l'échantillon de cheval de Troie a été connecté à un fichier, "Company PLP_Tax relief due à Covid-19 épidémie CI + PL.jar", et n'a été détecté au début que par le moteur antivirus d'ESET.
Surnommé QNodeService, le cheval de Troie atterrit sur les systèmes via un téléchargeur Java intégré au fichier .jar, ont déclaré jeudi des chercheurs de Trend Micro.
Le malware est inhabituel car il est écrit dans Node.js, un langage principalement réservé au développement de serveurs Web.
"Cependant, l'utilisation d'une plate-forme peu commune peut avoir aidé à échapper à la détection par un logiciel antivirus", note l'équipe.
Le téléchargeur Java, obscurci via Allatori dans le document de leurre, saisit le fichier malveillant Node.js - soit "qnodejs-win32-ia32.js" ou "qnodejs-win32-x64.js" - à côté d'un fichier appelé "assistant". js. "
Une version 32 bits ou 64 bits de Node.js est téléchargée en fonction de l'architecture du système Windows sur la machine cible.
Le travail de Wizard.js consiste à faciliter la communication entre QNodeService et son serveur de commande et de contrôle (C2), ainsi qu'à maintenir la persistance grâce à la création de clés de registre Run.
Après avoir exécuté sur un système affecté, QNodeService est capable de télécharger, télécharger et exécuter des fichiers; collectez les informations d'identification des navigateurs Google Chrome et Mozilla Firefox et effectuez la gestion des fichiers.
De plus, le cheval de Troie peut voler des informations système, notamment l'adresse IP et l'emplacement, télécharger des charges utiles de logiciels malveillants supplémentaires et transférer des données volées vers le C2.
Ces fonctions sont typiques de nombreuses variantes de chevaux de Troie, mais il existe une fonction intéressante - la commande "http-forward" - qui permet aux attaquants de télécharger des fichiers sans se connecter directement au PC d'une victime.
«Un chemin de requête et un jeton d'accès valides sont nécessaires pour accéder aux fichiers sur la machine», explique Trend Micro. "Le serveur C2 doit d'abord envoyer" file-manager / forward-access "pour générer l'URL et le jeton d'accès à utiliser pour la commande http-forward plus tard."
Trend Micro indique que le logiciel malveillant se concentre sur les machines Windows, mais le code indique que "la compatibilité multiplateforme pourrait être un objectif futur".
Plus tôt ce mois-ci, les chercheurs d'IBM Security ont documenté des changements remarqués dans le cheval de Troie bancaire Zeus Sphinx en raison de son intégration avec les nouvelles campagnes de phishing COVID-19.
Le cheval de Troie est resté relativement inactif pendant des années, mais maintenant, Zeus Sphinx reçoit des mises à jour fréquentes, notamment des modifications de C2 et de chiffrement.
Le Malware a été repéré dans des campagnes frauduleuses qui promettent aux victimes des secours et une assistance en cas de coronavirus