一种新的基于Node.js的远程访问木马恶意软件正在通过伪装成美国财政部的电子邮件进行传播。
安全机构Abuse.ch发现了这个新的垃圾邮件活动,该活动声称由于银行信息不正确,政府应付的款项未支付成功。
然后,电子邮件会提示用户检查文档是否有误,如果没有回复,这笔钱将被政府用于冠状病毒疫情救灾。
伪造的电子邮件
没有迹象表明上述批准的资金最终受益人的身份是您,或者您是否已经修改了收款银行账户信息?如果在5月30日之前仍未领取,美国财政部希望这些资金将作为紧急救济基金分发,以支持COVID-19全球危机造成的困难。预计您的资金将在6月初被分配。
该电子邮件的附件是名为“ CONTRACT PAYMENT.zip”的文档,其中包含名为“ CONTRACT PAYMENT.jar”的文件。
附件文件
该恶意软件是一种新的名为QNodeService的Node.js恶意软件,该恶意软件由MalwareHunterTeam发现,随后由TrendMicro分析。
执行后,此JAR文件将下载Node.js和一个名为Wizard.js的脚本,并将程序包存储在名为%UserProfile \ qnodejs-node-v13.13.0-win-x64的文件夹中,如下所示。
Qnodejs-node-v13.13.0-win-x64文件夹
为了使受害者每次登录Windows时都运行恶意软件,因此将创建一个Windows注册表运行值。
为持久性配置的运行键
根据TrendMicro的报告,一旦安装了QNodeService,它将完全控制计算机,并进一步危害计算机以窃取数据。
通过QNodeService恶意软件中内置的以下功能,可以做出进一步的侵害:
- 自我更新;
- 获取计算机信息,如IP地址、计算机名、位置、用户名和操作系统版本;
- 执行命令,下载更多的有效载荷;
- 删除和写入文件;
- 从各种应用程序(例如Chrome和Firefox)中窃取密码。
如果您已成为该恶意软件的受害者,则应立即假设您的数据和密码已遭到泄露。
恶意软件也可能被用来访问网络上的其他设备。
因此,您应该立即更改在浏览器或其他应用程序中保存的所有密码。然后,对网络、系统以及其余部分进行检查,以确认没有其他设备受到威胁。