|
|
51CTO旗下网站
|
|
移动端

谨防电子邮件钓鱼的各种套路

一种新的基于Node.js的远程访问木马恶意软件正在通过伪装成美国财政部的电子邮件进行传播。

作者:QueenB来源:嘶吼网|2020-05-21 10:06

一种新的基于Node.js的远程访问木马恶意软件正在通过伪装成美国财政部的电子邮件进行传播。

安全机构Abuse.ch发现了这个新的垃圾邮件活动,该活动声称由于银行信息不正确,政府应付的款项未支付成功。

然后,电子邮件会提示用户检查文档是否有误,如果没有回复,这笔钱将被政府用于冠状病毒疫情救灾。

伪造的电子邮件

没有迹象表明上述批准的资金最终受益人的身份是您,或者您是否已经修改了收款银行账户信息?如果在5月30日之前仍未领取,美国财政部希望这些资金将作为紧急救济基金分发,以支持COVID-19全球危机造成的困难。预计您的资金将在6月初被分配。

该电子邮件的附件是名为“ CONTRACT PAYMENT.zip”的文档,其中包含名为“ CONTRACT PAYMENT.jar”的文件。

附件文件

该恶意软件是一种新的名为QNodeService的Node.js恶意软件,该恶意软件由MalwareHunterTeam发现,随后由TrendMicro分析。

执行后,此JAR文件将下载Node.js和一个名为Wizard.js的脚本,并将程序包存储在名为%UserProfile \ qnodejs-node-v13.13.0-win-x64的文件夹中,如下所示。

Qnodejs-node-v13.13.0-win-x64文件夹

为了使受害者每次登录Windows时都运行恶意软件,因此将创建一个Windows注册表运行值。

为持久性配置的运行键

根据TrendMicro的报告,一旦安装了QNodeService,它将完全控制计算机,并进一步危害计算机以窃取数据。

通过QNodeService恶意软件中内置的以下功能,可以做出进一步的侵害:

  • 自我更新;
  • 获取计算机信息,如IP地址、计算机名、位置、用户名和操作系统版本;
  • 执行命令,下载更多的有效载荷;
  • 删除和写入文件;
  • 从各种应用程序(例如Chrome和Firefox)中窃取密码。

如果您已成为该恶意软件的受害者,则应立即假设您的数据和密码已遭到泄露。

恶意软件也可能被用来访问网络上的其他设备。

因此,您应该立即更改在浏览器或其他应用程序中保存的所有密码。然后,对网络、系统以及其余部分进行检查,以确认没有其他设备受到威胁。

【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

思科交换网络安全指南

思科交换网络安全指南

安全才能无忧
共5章 | 思科小牛

76人订阅学习

云计算从入门到上瘾

云计算从入门到上瘾

传统IT工程师的转型
共26章 | 51CTO阿森

239人订阅学习

从头解锁Python运维

从头解锁Python运维

多维度详解
共19章 | 叱诧少帅

353人订阅学习

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微