QNodeService: il trojan (quasi) invisibile agli antivirus

Hacker-Filmful
0

Si chiama Node.js ed è un linguaggio di programmazione utilizzato normalmente per lo sviluppo in ambito Web Server.

I cyber-criminali, però, hanno pensato di utilizzarlo per realizzare malware, un fatto così inaspettato che ha messo a dura prova i controlli dei software di protezione.

Nello specifico, i cyber-criminali hanno creato e diffuso QnodeService, un trojan che per qualche tempo è riuscito a passare “sotto i radar” ed a rendere molto difficoltoso il suo rilevamento.

Il malware, probabilmente, è stato diffuso attraverso una campagna di phishing che ha sfruttato questa situazione di emergenza causata dalla pandemia Covid-19. Il nome del file che ne avvia il download (Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar) lascia pensare infatti ad una documentazione relativa a sgravi fiscali legati al Coronavirus.

L’elemento più interessante, però, riguarda la sua struttura. Come spiegato da alcuni ricercatori, il file utilizzato come vettore è infatti un downloader Java che è in grado di scegliere e scaricare il payload appropriato (32 o 64 bit) per la macchina infettata.

Si tratta di un malware modulare, che sfrutta delle librerie Node.js e adotta tecniche di offuscamento per rendere estremamente difficile analizzare il codice del software.

Il risultato, secondo gli esperti di sicurezza, è che in una prima fase il trojan veniva rilevato soltanto dagli antivirus ESET, a discapito di tutti gli altri programmi di sicurezza “ingannati” dalla sua struttura.

Il trojan, una volta installato sul computer, è in grado di rubare le credenziali inserite nei più diffusi browser ma può addirittura scaricare ed eseguire ulteriori moduli e codici malevoli.

Il sistema contiene anche uno strumento per l’esfiltrazione dei dati verso il server Command and Control.

 

Leggi anche  Linguaggi di programmazione: Gli sviluppatori rivelano le loro preferenze

Fonte:

https://www.securityinfo.it/2020/05/18/qnodeservice-il-trojan-quasi-invisibile-agli-antivirus/

Leave us a comment