一種新的基于Node.js的遠程訪問木馬惡意軟件正在通過偽裝成美國財政部的電子郵件進行傳播。

[[326900]]

安全機構Abuse.ch發(fā)現(xiàn)了這個新的垃圾郵件活動，該活動聲稱由于銀行信息不正確，政府應付的款項未支付成功。

然后，電子郵件會提示用戶檢查文檔是否有誤，如果沒有回復，這筆錢將被政府用于冠狀病毒疫情救災。

偽造的電子郵件

沒有跡象表明上述批準的資金最終受益人的身份是您，或者您是否已經(jīng)修改了收款銀行賬戶信息?如果在5月30日之前仍未領取，美國財政部希望這些資金將作為緊急救濟基金分發(fā)，以支持COVID-19全球危機造成的困難。預計您的資金將在6月初被分配。

該電子郵件的附件是名為“ CONTRACT PAYMENT.zip”的文檔，其中包含名為“ CONTRACT PAYMENT.jar”的文件。

附件文件

該惡意軟件是一種新的名為QNodeService的Node.js惡意軟件，該惡意軟件由MalwareHunterTeam發(fā)現(xiàn)，隨后由TrendMicro分析。

執(zhí)行后，此JAR文件將下載Node.js和一個名為Wizard.js的腳本，并將程序包存儲在名為%UserProfile \ qnodejs-node-v13.13.0-win-x64的文件夾中，如下所示。

Qnodejs-node-v13.13.0-win-x64文件夾

為了使受害者每次登錄Windows時都運行惡意軟件，因此將創(chuàng)建一個Windows注冊表運行值。

為持久性配置的運行鍵

根據(jù)TrendMicro的報告，一旦安裝了QNodeService，它將完全控制計算機，并進一步危害計算機以竊取數(shù)據(jù)。

通過QNodeService惡意軟件中內(nèi)置的以下功能，可以做出進一步的侵害：

• 自我更新;
• 獲取計算機信息，如IP地址、計算機名、位置、用戶名和操作系統(tǒng)版本;
• 執(zhí)行命令，下載更多的有效載荷;
• 刪除和寫入文件;
• 從各種應用程序(例如Chrome和Firefox)中竊取密碼。

如果您已成為該惡意軟件的受害者，則應立即假設您的數(shù)據(jù)和密碼已遭到泄露。

惡意軟件也可能被用來訪問網(wǎng)絡上的其他設備。

因此，您應該立即更改在瀏覽器或其他應用程序中保存的所有密碼。然后，對網(wǎng)絡、系統(tǒng)以及其余部分進行檢查，以確認沒有其他設備受到威脅。