Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动，该活动通过发布美国总统唐纳德·特朗普（Donald Trump）的丑闻假视频来传播远程访问木马（RAT）。

电子邮件的主题为“ GOOD LOAN OFFER !!”，附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档（JAR）文件，一旦被下载，该文件会将Qua或Quaverse RAT（QRAT）安装到系统中。

Trustwave高级安全研究员戴安娜·洛帕（Diana Lopera）在文章中说：“我们怀疑，黑客正试图利用最近结束的总统大选的噱头进行 *** 犯罪活动。”

最新的恶意活动是八月份发现的基于Windows的QRAT下载器的变体。

感染链从包含嵌入式附件或指向恶意zip文件的链接的垃圾邮件开始，它们均会检索使用Allatori Java混淆器加扰的JAR文件（“ Spec＃0034.jar”）。

之一阶段下载程序将Node.Js平台设置到系统上，下载并执行称为“ wizard.js”的第二阶段下载程序，该程序负责持久获取并运行Qnode RAT（“ qnode-win32-ia32。 js”）。

QRAT是典型的远程访问木马，具有获取系统信息、执行文件操作以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据的功能。

这次恶意活动的变化是包含了一个新的弹出警报，该警报会通知受害者正在运行的JAR是用于渗透测试的远程访问软件。这也意味着，一旦用户单击“确定”按钮，该样本的恶意行为就会开始显现。

此外，JAR下载程序的恶意代码被分为不同的随机编号的缓冲区以逃避检测。

消息及封面来源：The Hacker News，译者：江。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.c