O nouă campanie de phishing încearcă să atragă victimele să descarce malware, ceea ce oferă infractorilor cibernetici control deplin asupra dispozitivelor infectate ce folosesc platforma Microsoft Windows.
Quaverse Remote Access Trojan (QRat) a apărut pentru prima dată în 2015 și a avut succes, deoarece este dificil de detectat sub multiple nivele de secretizare și oferă hackerilor acces la distanță la computerele victimelor compromise.
Capabilitățile acestui malware troian includ furtul de parole, keylogging, file browsing, capturi de ecran și multe altele, care le permit hackerilor să aibă acces la informații sensibile.
Acum, cercetătorii de securitate cibernetică de la Trustwave au identificat o nouă campanie QRat care încearcă să atragă oamenii să descarce cea mai recentă versiune a malware-ului, lucru pe care îl descriu ca fiind „îmbunătățit semnificativ”.
E-mailul inițial de phishing pretinde că oferă victimei un împrumut cu o „bună rentabilitate a investiției” care ar putea atrage atenția victimelor. Cu toate acestea, atașamentul rău intenționat nu are deloc legătură cu subiectul e-mailului de phishing, ci pretinde că include un videoclip al președintelui Donald Trump.
Cercetătorii sugerează că atacatorii au optat pentru acest atașament pe baza a ceea ce este demn de actualitate. Oricare ar fi motivul, încercarea de a deschide fișierul – un fișier Java Archive (JAR) – va duce la executarea unui program de instalare pentru malware QRat.
Programul malware utilizează mai multe nivele de secretizare pentru a evita detectarea ca activitate dăunătoare – și a adăugat, de asemenea, noi tehnici pentru a oferi mijloace suplimentare de evitare a detectării.
Cu toate acestea, procesul vine chiar cu un avertisment pop-up, care îi spune utilizatorului că software-ul pe care îl instalează poate fi folosit pentru acces de la distanță și teste de penetrare – dacă utilizatorul acceptă acest QRat este descărcat pe sistem, malware-ul fiind recuperat de descărcări modulare pentru a evita detectarea.
Ar putea părea ciudat faptul că oamenii ar fi de acord cu acest lucru atunci când pare să nu aibă legătură cu presupusul videoclip pe care încearcă să îl acceseze, dar manipularea curiozității este încă o tactică incredibil de utilă folosită de infractorii cibernetici.
„Spamarea fișierelor JAR rău intenționate, care deseori duc la RAT-uri de genul acesta, este destul de obișnuită. Administratorii de e-mailuri ar trebui să caute să adopte o poziție fermă împotriva JAR-urilor și să le blocheze în gateway-urile lor de securitate de e-mail”, a spus Diana Lopera, senior cercetător de securitate la Trustwave.
De asemenea, este posibil ca o momeală mai bine concepută să poată avea ca rezultat ca această campanie QRat să fie mai eficientă în viitor.
„În timp ce conținutul fișierului atașat are unele îmbunătățiri față de versiunile anterioare, campania de e-mail în sine a avut un nivel de amatori și credem că șansa ca această amenințare să fie livrată cu succes este mai mare dacă numai e-mailul este mai sofisticat”, a adăugat Lopera.
Sursa: ZDnet
