Este nuevo e inusual troyano promete a las víctimas la exención de impuestos COVID-19


Una nueva muestra de malware troyano ha aparecido en el radar de los investigadores de ciberseguridad luego de la evidencia de que podría estar siendo utilizada en coronavirusrelacionados con el phishing.

Primero notado por MalwareHunterTeam, la muestra de Troya se conectó a un archivo, «Alivio de la empresa PLP_Tax debido al brote de Covid-19 CI + PL.jar», y solo fue detectado inicialmente por el motor antivirus de ESET.

Apodado QNodeService, el troyano aterriza en sistemas a través de un descargador de Java integrado en el archivo .jar, investigadores de Trend Micro dijo el jueves.

El malware es inusual ya que está escrito en Node.js, un lenguaje reservado principalmente para el desarrollo del servidor world-wide-web.

«Sin embargo, el uso de una plataforma poco común puede haber ayudado a evadir la detección por computer software antivirus», señala el equipo.

El descargador de Java, ofuscado a través de Allatori en el documento señuelo, toma el archivo de malware Node.js, ya sea «qnodejs-get32-ia32.js» o «qnodejs-acquire32-x64.js», junto con un archivo llamado «asistente». js «.

Se descarga una versión de Node.js de 32 bits o de 64 bits, dependiendo de la arquitectura del sistema de Windows en la máquina de destino.

El trabajo de Wizard.js es facilitar la comunicación entre QNodeService y su servidor de comando y handle (C2), así como mantener la persistencia mediante la creación de claves de registro de ejecución.

Después de ejecutar en un sistema afectado, QNodeService puede descargar, cargar y ejecutar archivos obtener credenciales de los navegadores Google Chrome y Mozilla Firefox, y realizar la gestión de archivos.

CNET: Estados Unidos acusa a China de intentar piratear la investigación de la vacuna contra el coronavirus

Además, el troyano puede robar información del sistema, incluida la dirección IP y la ubicación, descargar cargas de malware adicionales y transferir datos robados al C2.

Estas funciones son típicas de muchas variantes de troyanos, pero hay una función interesante, el comando «http-ahead», que permite a los atacantes descargar archivos sin conectarse directamente a la Pc de la víctima.

«Se requiere una ruta de solicitud válida y un token de acceso para acceder a los archivos en la máquina», dice Pattern Micro. «El servidor C2 primero debe enviar» administrador de archivos / acceso directo «para generar la URL y el token de acceso para usarlos luego con el comando http-ahead».

Trend Micro dice que el malware está enfocado en máquinas Windows, pero hay indicadores en el código que «la compatibilidad multiplataforma puede ser un objetivo futuro».

TechRepublic: La campaña de phishing explota Symantec URL Security para cubrir sus huellas

A principios de este mes, los investigadores de IBM Stability documentaron cambios notados en el troyano bancario Zeus Sphinx debido a su integración con las nuevas campañas de phishing COVID-19.

El troyano ha estado relativamente inactivo durante años, pero ahora, Zeus Sphinx está recibiendo actualizaciones frecuentes, incluidos C2 y cambios de cifrado.

El malware se ha detectado en campañas fraudulentas que prometen pagos y asistencia a las víctimas del coronavirus.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0






Enlace a la noticia authentic