Un grupo de especialistas en ciberseguridad ha detectado una campaña para la distribución de un troyano de acceso remoto (RAT) disfrazado como un supuesto video sexual del presidente Donald Trump a través de correos electrónicos.
Estos mensajes, que llevan el asunto “BUENA OFERTA DE PRÉSTAMOS”, contienen un archivo Java titulado “TRUMP_SEX_SCANDAL_VIDEO.jar”. Si los usuarios descargan el archivo, en realidad estarán instalando el malware Quaverse RAT (QRAT), también conocido como Qua.
En su reporte, los expertos mencionan que los actores de amenazas están tratando de aprovecharse de la expectación generada por las recientes elecciones presidenciales en E.U., incluso creen que el nombre del archivo fue modificado de último minuto ya que no tiene relación alguna con la línea de asunto en el correo electrónico. Los expertos de Trustwave mencionan que esta parece ser una extensión de la más reciente campaña vinculada a este grupo y detectada en agosto de 2020.
Todo comienza con el email de spam que contiene el archivo adjunto o, en su defecto, un enlace a un archivo zip malicioso. Cualquiera de estos archivos recupera el archivo JAR (“Spec#0034.jar”), codificado con el ofuscador Java Allatori.
El descargador configura la plataforma Node.Js en el sistema y luego descarga y ejecuta un segundo downloader llamado “wizard.js” para generar persistencia y obtener Qnode RAT desde un servidor controlad por los actores de amenazas.
Una inclusión reciente a este ataque es una alerta emergente para notificar a la víctima que el JAR en ejecución es un software de acceso remoto empleado para el pentesting. Los expertos mencionan que esto indica que la actividad maliciosa comenzará a manifestarse cuando el usuario haga clic en el botón “OK” de la alerta emergente.
El troyano ha recibido múltiples actualizaciones, incluyendo el código ahora cifrado con base64: “Esta amenaza ha mejorado significativamente desde la primera vez que fue detectada”, agregan los especialistas.
Sobra decir que se recomienda a los usuarios ignorar cualquier mensaje sospechoso, ya sea que lo envíe un usuario desconocido o que incluya contenido demasiado atractivo para ser verdad. La mejor forma de prevenir estas infecciones es sabiendo identificar una amenaza antes de abrir el correo electrónico.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.