Trump Sex Scandal est juste une menace RAT

  • FrançaisFrançais


  • Le président sortant des États-Unis, Donald J. Trump, a fait la une des journaux pour ses actions et celles de ses partisans. Son nom étant l’un des mots-clés les plus en vogue au monde, les cybercriminels tentent de tirer le meilleur parti de la situation avec de faux fils indiquant une sex tape du POTUS partant. Le fichier Java Archive (JAR) appelé «TRUMP_SEX_SCANDAL_VIDEO.jar» est une nouvelle variante du cheval de Troie d’accès à distance (RAT) qui vise à inciter les utilisateurs peu méfiants à livrer un package de logiciels malveillants.

    Les chercheurs de Trustwave ont été les premiers à tomber sur ce nouveau fil en examinant leurs pièges à spam. La chose la plus étrange à propos de la campagne était que, en surface, elle ressemblait à une arnaque d’investissement typique avec le sujet «BONNE OFFRE DE PRÊT», mais avec une pièce jointe appelée TRUMP_SEX_SCANDAL_VIDEO.jar – sans rapport avec le thème de l’e-mail.

    Scandale sexuel Trump

    Le fichier RAT est d’un type inhabituel. Nommé «QNODE DOWNLOADER», il s’agit d’une variante des téléchargeurs QRAT de Node.Js précédemment vus. Une fois qu’un utilisateur clique sur la pièce jointe, une copie est créée puis exécutée à partir du dossier% temp% tandis que l’utilisateur est accueilli avec un message contextuel qui se lit, «logiciel d’accès à distance et est principalement utilisé pour les tests de pénétration». Dès qu’un utilisateur clique sur «Ok, je sais ce que je fais», les activités malveillantes commencent.

    «Troisièmement, la chaîne« qnodejs »qui identifiait précédemment les fichiers associés à cette menace, n’est pas dans cette variante», ont noté les chercheurs. «Le dossier d’installation de Node.Js est toujours à% userprofile%, cependant, le dossier n’est plus précédé de« qnodejs- ». Quatrièmement, lors du téléchargement du programme malveillant suivant, seul l’argument «–hub-domain» est requis lors de la communication avec les serveurs de commande et de contrôle (C et C). Après avoir configuré la plate-forme Node.Js, un processus Node.Js est créé pour télécharger le prochain malware dans la chaîne d’infection. L’argument «–hub-domain» avec les C&C est la seule donnée fournie au processus. Les informations sur l’utilisateur de l’abonnement au service QHub que nous avons observé dans la variante précédente ne sont plus contenues dans le fichier JAR. »

    Trump Sex Scandal RAT

    Et à la fin, le fichier JAR télécharge un fichier nommé «boot.js» et l’enregistre à:% temp% _ qhub_node_ {random}.

    Par rapport à la variante précédente, la nouvelle est considérablement améliorée pour infecter le système avec un QNode RAT. Plusieurs caractéristiques et comportements ont également été améliorés. Celles-ci incluent le téléchargeur divisé en différents tampons à l’intérieur du JAR pour échapper à la détection, les noms des autres fichiers qu’il a créés et téléchargés étant modifiés placés dans des emplacements différents, et non dans le dossier d’installation de Node.Js, parmi plusieurs autres nouvelles fonctionnalités.

    Qu’est-ce que QRAT?

    Un cheval de Troie d’accès à distance Qua ou Quaverse (QRAT) est un RAT basé sur Java, qui a fait son apparition en 2015. Le cheval de Troie peut être utilisé pour prendre le contrôle complet d’un appareil compromis. Il a été initialement annoncé comme un SaaS Java RAT.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *