Bien que les élections américaines de 2020 soient terminées, les cybercriminels les utilisent toujours comme un leurre pour infecter les victimes avec Malware et d’autres virus.
Chercheur en sécurité chez Vague de confiance découvert un nouveau Malspam Campagne qui a retenu leur attention en premier parce que les pièces jointes utilisées ne correspondaient pas à l’objet du corps de l’e-mail. Après une enquête plus approfondie, cependant, ils ont constaté que la pièce jointe était une variante du téléchargeur QRAT.
Les e-mails utilisés dans la campagne ont pour objet « BONNE OFFRE DE PRÊT !! » ce qui les fait initialement apparaître comme une simple fraude à l’investissement. Cependant, une archive est jointe à ces e-mails qui contient un fichier JAR (Java Archive) avec le nom « TRUMP_SEX_SCANDAL_VIDEO.jar ».
Trustwave pense que les cybercriminels à l’origine de la campagne tentent de capitaliser sur la controverse entourant la récente élection présidentielle américaine, car le nom du fichier de la pièce jointe est totalement indépendant du sujet du courrier électronique.
Téléchargeur QRAT
Le fichier JAR joint à ces e-mails a le même objectif que les autres téléchargeurs Node.j QRAT que Trustwave a observés dans le passé pour installer Qnode RAT sur le système d’une victime.
Le téléchargeur n’affecte toujours que les systèmes Windows et le fichier JAR lui-même est obscurci avec Allatori Obfuscator. L’échantillon analysé par les chercheurs de Trustwave est plus volumineux que les échantillons précédents, mais le code malveillant contenu dans le téléchargeur est toujours divisé en plusieurs flux de données avec uniquement des chiffres dans le nom de fichier.
Dès qu’une victime ouvre cela Fichier JAR Une fenêtre contextuelle apparaît en pièce jointe à l’email vous informant que le fichier est « un logiciel RAS qui est principalement utilisé pour les tests de pénétration ». Lorsqu’un utilisateur clique sur le bouton « Ok, je sais ce que je fais », le fichier JAR commence son comportement malveillant sur le système d’un utilisateur.
La principale chercheuse en sécurité de Trustwave, Diana Lopera, a donné des informations supplémentaires sur cette dernière version du téléchargeur QRAT dans un nouveau rapport, En disant:
«Alors que la charge utile des pièces jointes montre quelques améliorations par rapport aux versions précédentes, la campagne d’e-mails elle-même était plutôt amateur et nous pensons que si seulement l’e-mail est plus sophistiqué, plus il sera livré avec succès. Le spamming de fichiers JAR malveillants, qui conduit souvent à de tels RAT, est répandu. «
Afin de ne pas être victime de cette escroquerie et d’autres similaires, il est fortement recommandé d’éviter de télécharger et d’ouvrir des fichiers joints aux e-mails de expéditeurs inconnus.