【安全资讯】垃圾邮件使用特朗普视频诱饵传播QNode RAT

研究人员近日披露了一项新的垃圾邮件活动，该活动通过散布包含美国总统唐纳德·特朗普（Donald Trump）的性丑闻视频来分发远程访问木马（RAT）。

电子邮件的附件是一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档（JAR）文件。我们怀疑攻击者正试图利用最近即将结束的总统选举热点话题，因为他们附件中使用的文件名与电子邮件的主题没有太大联系。垃圾邮件界面如下：

垃圾邮件

“ TRUMP_SEX_SCANDAL_VIDEO.jar”被称为“ QNODE DOWNLOADER”，目的是将Qnode RAT安装到目标系统中。与旧版本的其他相似之处如下：

        使用Allatori Obfuscator对JAR文件进行混淆;
        从官方网站nodejs.org检索Node.Js的安装程序
        下载程序仍仅支持Windows平台。

QRAT的此变体支持的命令比以前的版本更简单，如下所示。

该版本QRAT接受命令的代码片段

结论：

QRAT与之前的版本相比，JAR文件下载器的特性和行为得到了较大的改善。尽管有效负载相对于以前的版本有了改进，但是电子邮件活动本身是相当业余的，带有恶意JAR文件的垃圾邮件很常见，电子邮件管理员应该对出现的JAR采取防护措施，并将其阻止在电子邮件安全网关外。