Cyber-Angreifer tarnen Malware als Videodatei, die einen gefälschten Sex-Skandal mit US-Präsident Donald Trump darstellt. Der E-Mail-basierte Angriff wurde von Cybersecurity-Forschern bei Trustwave entdeckt, die ihre Spam-Fallen überprüften.
Die Zielpersonen erhalten eine E-Mail mit dem Attachment „TRUMP_SEX_SCANDAL_VIDEO.jar“. Wer auf die bösartige Java-Archiv (JAR)-Datei klickt, installiert unwissentlich den Qnode Remote Access Trojan (RAT) auf seinem Computer.
Ungewöhnlich war, dass der Titel der bösartigen Datei keine Ähnlichkeit mit dem Betreff der E-Mail hatte, an die sie angehängt war.
Als die Forscher die E-Mail „GOOD LOAN OFFER!!!“ öffneten, erwarteten sie nichts anderes als einen Anlagebetrug. Im Anhang der E-Mail befand sich jedoch ein Archiv, das die bösartige JAR-Datei enthielt.
„Wir vermuten, dass die Bösewichte versuchen, die Aufregung zu nutzen, die durch die kürzlich abgeschlossenen Präsidentschaftswahlen ausgelöst wurde, da der Dateiname, den sie im Anhang verwendet haben, in keinem Zusammenhang mit dem Thema der E-Mail steht“, schreiben die Forscher.
Eine Untersuchung des Angriffs ergab, dass es sich bei der JAR-Datei um eine Variante eines QRAT-Downloaders handelt, auf den die Forscher im August aufmerksam gemacht haben. Zu den Gemeinsamkeiten zwischen der neuen und der alten Variante gehört, dass der Allatori Obfuscator zur Verschleierung der JAR-Datei verwendet wird und der Installer von Node.Js von der offiziellen Website nodejs.org bezogen wird.
Wie auch bei den alten Varianten stellten die Forscher fest, dass der neue Downloader nur Windows-Plattformen unterstützt.
Die Forscher merkten an, dass die E-Mail-Kampagne zum Trump-Sex-Skandal, die zur Verbreitung der Malware verwendet wurde, zwar eher amateurhaft“ war, der neue QRAT jedoch ausgefeilter als frühere Varianten ist.
„Diese Bedrohung wurde in den letzten Monaten, seit wir sie zum ersten Mal untersucht haben, erheblich verbessert. Um das gleiche Endziel zu erreichen, nämlich das System mit einem QNode RAT zu infizieren, wurden die Eigenschaften und das Verhalten des JAR-Datei-Downloaders verbessert“, schreiben die Forscher.
Die Angreifer ließen die Zeichenfolge „qnodejs“ weg, die die Dateien dieser Bedrohung unterscheiden kann. Und um eine Entdeckung zu vermeiden, haben sie den Schadcode des Downloaders in verschiedene Puffer innerhalb der JAR-Datei aufgeteilt.
Die Forscher rieten E-Mail-Administratoren, eine „harte Linie“ gegen eingehende JARs zu fahren und ihre E-Mail-Sicherheits-Gateways zu verwenden, um sie zu blockieren.
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.