Meskipun pemilu AS 2020 mungkin telah berakhir, penjahat dunia maya masih menggunakannya sebagai iming-iming untuk menginfeksi korban dengan malware (terbuka di tab baru) dan virus lainnya.
Peneliti keamanan di Trustwave (terbuka di tab baru) telah menemukan malspam baru (terbuka di tab baru) kampanye yang pertama kali menarik perhatian mereka karena lampiran yang digunakan tidak sesuai dengan tema badan email. Namun setelah diselidiki lebih lanjut, mereka menemukan bahwa lampiran tersebut adalah varian dari pengunduh QRAT.
Email yang digunakan dalam kampanye memiliki baris subjek “PENAWARAN PINJAMAN YANG BAIK!!” yang membuat mereka tampak seperti penipuan investasi lain pada awalnya. Namun, terlampir pada email ini adalah arsip yang berisi file Java Archive (JAR) bernama “TRUMP_SEX_SCANDAL_VIDEO.jar”.
Trustwave percaya bahwa penjahat dunia maya di balik kampanye tersebut mencoba memanfaatkan kontroversi seputar pemilihan presiden AS baru-baru ini karena nama file lampiran sama sekali tidak terkait dengan tema email.
pengunduh QRAT
File JAR yang dilampirkan ke email ini memiliki tujuan yang sama dengan pengunduh QRAT Node.js lainnya yang telah diamati Trustwave di masa lalu, untuk menginstal Qnode RAT pada sistem korban.
Pengunduh masih hanya memengaruhi sistem Windows dan file JAR itu sendiri disamarkan menggunakan Allatori Obfuscator. Sampel yang dianalisis oleh peneliti Trustwave lebih besar dari sampel sebelumnya, tetapi kode berbahaya yang disertakan dalam pengunduh masih terbagi di antara beberapa aliran data dengan hanya angka di nama file.
Setelah korban membuka file JAR (terbuka di tab baru) terlampir pada email, pop-up muncul memberi tahu mereka bahwa file tersebut adalah “perangkat lunak akses jarak jauh dan terutama digunakan untuk pengujian penetrasi”. Jika pengguna mengklik tombol yang mengatakan “Oke, saya tahu apa yang saya lakukan”, file JAR memulai perilaku jahatnya di sistem pengguna.
Peneliti keamanan senior di Trustwave Diana Lopera memberikan wawasan lebih lanjut tentang pengunduh QRAT versi terbaru ini dalam sebuah laporan baru (terbuka di tab baru)mengatakan:
“Sementara payload lampiran memiliki beberapa perbaikan dari versi sebelumnya, kampanye email itu sendiri agak amatir, dan kami percaya bahwa kemungkinan ancaman ini akan berhasil disampaikan lebih tinggi jika hanya email yang lebih canggih. Spam dari file JAR berbahaya, yang sering menyebabkan RAT seperti ini, cukup umum terjadi.”
Untuk menghindari menjadi korban ini dan penipuan serupa lainnya, sangat disarankan agar Anda menghindari mengunduh dan membuka file apa pun yang dilampirkan ke email dari pengirim yang tidak dikenal (terbuka di tab baru).
