Investigadores de ciberseguridad revelaron hoy una nueva campaña de malspam que distribuye un troyano de acceso remoto (RAT) al pretender contener un video de escándalo sexual del presidente de los Estados Unidos, Donald Trump.

Los correos electrónicos, que llevan el asunto «¡¡BUENA OFERTA DE PRÉSTAMO!!», vienen adjuntos con un archivo Java (JAR) llamado «TRUMP_SEX_SCANDAL_VIDEO.jar», que, cuando se descarga, instala Qua o Quaverse RAT (QRAT) en el infiltrado. sistema.

«Sospechamos que los malos están tratando de aprovechar el frenesí provocado por las elecciones presidenciales recientemente concluidas, ya que el nombre de archivo que usaron en el archivo adjunto no tiene ninguna relación con el tema del correo electrónico», dijo Diana Lopera, investigadora sénior de seguridad de Trustwave, en un artículo. publicado hoy.

La última campaña es una variante del descargador QRAT basado en Windows que los investigadores de Trustwave descubrieron en agosto.

La cadena de infección comienza con un mensaje de correo no deseado que contiene un archivo adjunto incrustado o un enlace que apunta a un archivo zip malicioso, cualquiera de los cuales recupera un archivo JAR («Spec # 0034.jar») que se codifica con el ofuscador Allatori Java.

Este descargador de primera etapa configura la plataforma Node.Js en el sistema y luego descarga y ejecuta un descargador de segunda etapa llamado «wizard.js» que es responsable de lograr la persistencia y obtener y ejecutar Qnode RAT («qnode-win32-ia32. js») de un servidor controlado por un atacante.

QRAT es un troyano de acceso remoto típico con varias características que incluyen obtener información del sistema, realizar operaciones con archivos y adquirir credenciales de aplicaciones como Google Chrome, Firefox, Thunderbird y Microsoft Outlook.

Lo que ha cambiado esta vez es la inclusión de una nueva alerta emergente que informa a la víctima que el JAR que se está ejecutando es un software de acceso remoto utilizado para pruebas de penetración. Esto también significa que el comportamiento malicioso de la muestra solo comienza a manifestarse una vez que el usuario hace clic en «Ok, sé lo que estoy haciendo». botón.

«Esta ventana emergente es un poco extraña y quizás sea un intento de hacer que la aplicación parezca legítima o de desviar la responsabilidad de los autores del software original», señaló Lopera.

Además, el código malicioso del descargador JAR se divide en diferentes búferes numerados aleatoriamente en un intento de evadir la detección.

Otros cambios incluyen un aumento general en el tamaño del archivo JAR y la eliminación del descargador de segunda etapa a favor de una cadena de malware actualizada que obtiene inmediatamente la carga útil de QRAT ahora llamada «boot.js».

Por su parte, la RAT ha recibido su propia cuota de actualizaciones, con el código ahora encriptado con codificación base64, además de encargarse de persistir en el sistema de destino a través de un script VBS.

«Esta amenaza se ha mejorado significativamente en los últimos meses desde que la examinamos por primera vez», concluyó Topera, instando a los administradores a bloquear los JAR entrantes en sus puertas de enlace de seguridad de correo electrónico.

«Si bien la carga útil de los archivos adjuntos tiene algunas mejoras con respecto a las versiones anteriores, la campaña de correo electrónico en sí era bastante amateur, y creemos que la posibilidad de que esta amenaza se envíe con éxito es mayor si el correo electrónico fuera más sofisticado».