Il nuovo trojan colpisce Node.js, un linguaggio di programmazione utilizzato normalmente per lo sviluppo in ambito Web Server.
I cyber-criminali, però, hanno pensato di utilizzarlo per realizzare malware, un fatto così inaspettato che ha messo a dura prova i controlli dei software di protezione.
Nello specifico, i cyber-criminali hanno creato e diffuso QnodeService, un trojan che per qualche tempo è riuscito a passare “sotto i radar” ed a rendere molto difficoltoso il suo rilevamento.
Il malware, probabilmente, è stato diffuso attraverso una campagna di phishing che ha sfruttato questa situazione di emergenza causata dalla pandemia Covid-19. Il nome del file che ne avvia il download (Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar) lascia pensare infatti ad una documentazione relativa a sgravi fiscali legati al Coronavirus.
L’elemento più interessante, però, riguarda la sua struttura. Come spiegato da alcuni ricercatori, il file utilizzato come vettore è infatti un downloader Java che è in grado di scegliere e scaricare il payload appropriato (32 o 64 bit) per la macchina infettata.
Si tratta di un malware modulare, che sfrutta delle librerie Node.js e adotta tecniche di offuscamento per rendere estremamente difficile analizzare il codice del software.
Il risultato, secondo gli esperti di sicurezza, è che in una prima fase il trojan veniva rilevato soltanto dagli antivirus ESET, a discapito di tutti gli altri programmi di sicurezza “ingannati” dalla sua struttura.
Il trojan, una volta installato sul computer, è in grado di rubare le credenziali inserite nei più diffusi browser ma può addirittura scaricare ed eseguire ulteriori moduli e codici malevoli.
Il sistema contiene anche uno strumento per l’esfiltrazione dei dati verso il server Command and Control.
Fonte: https://www.securityinfo.it/2020/05/18/qnodeservice-il-trojan-quasi-invisibile-agli-antivirus/