QRat oferă atacatorilor controlul complet asupra mașinii infectate și capacitatea de a fura parole și alte date sensibile din aceasta. Până aici totul este destul de comun pentru un tool de acces la distanţă, însă e-mailurile de phishing folosite în infecţia iniţială sunt neconvenționale în cadrul acestei campanii.
Un nou tip de campanie phishing încearcă să îşi ademenească victimele să descarce un produs malware care oferă atacatorilor un control deplin asupra unei maşini infectate ce rulează Microsoft Windows.
Quaverse Remote Access Trojan (QRat) a apărut iniţial în 2015 și a rămas un malware de succes până în prezent deoarece este foarte dificil de detectat sub mai multe straturi de disimulare pe care le are. Produsul le oferă hackerilor acces la distanță la calculatoare compromise iar capacitățile acestui troian malware includ furtul de parole, înregistrarea elementelor tastate, accesul la fişiere, obţinerea de capturi de ecran și multe altele. Toate acestea le permit hackerilor să obțină acces la informații sensibile ale utilizatorilor.
În prezent, cercetătorii de securitate cibernetică de la Trustwave au identificat o nouă campanie QRat care încearcă să atragă utilizatorii să descarce cea mai recentă versiune a malware-ului, campanie pe care aceştia o descriu ca fiind „semnificativ îmbunătățită“.
E-mailul iniţial de phishing al atacului pretinde că va oferi victimei un împrumut cu o „bună rentabilitate pe investiție“, mesaj care are un potenţial bun de a crea interesul printre victime. Cu toate acestea, atașamentul infectat nu este de loc legat de subiectul mesajului de phishing, în schimb pretinde să conțină un videoclip cu președinte Donald Trump .
Cercetătorii de la Trustwave sugerează că atacatorii au optat pentru acest tip de atașament bazat pe faptul că este în prezent de actualitate. Oricare ar fi motivul lor, încercarea de a deschide fișierul – o arhivă Java (JAR) – va duce la rularea unui program de instalare pentru malware – ului QRat.
Malware – ul folosește mai multe straturi de disimulare, în scopul de a evita să fie detectat ca activitate maliţioasă – și ea are de asemenea noi tehnici adăugate, cu scopul de a suplimenta mijloacele de evitare a detecției.
Contrar acestor tehnici de disimulare, procesul vine chiar și cu un pop – up de avertizare ce spune utilizatorului că software – ul poate fi folosit pentru acces de la distanță și pentru teste de penetrare. În cazul în care utilizatorul acceptă, programul QRat este descărcat în sistem iar malware-ul efectiv este introdus ulterior prin mai multe descărcări modulare pentru a evita detectarea acestuia ca atare.
Deşi reprezintă un fapt ciudat că oamenii ar fi de acord să descarce un ataşament chiar şi atunci când probabil nu are legătură cu videoclipul pe care încearcă să îl acceseze, se pare că manipularea curiozităţii cuiva este încă o tactică incredibil de util desfășurată de criminalii virtuali în mod frecvent.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.