보안업체 Cybersecurity 연구원은 지난 1월 8일, 美 트럼프 대통령 스캔들에 대한 가짜 비디오를 게시하여 RAT를 확산시키는 악성 공격 캠페인을 확인했다.

보도에 따르면 이메일 제목은 “GOOD LOAN OFFER !!”이고 이메일에는 “TRUMP_SEX_SCANDAL_VIDEO.jar”라는 Java 아카이브(JAR) 파일이 첨부돼 있는데, 이 파일을 다운로드 하면 Qua 또는 Quaverse RAT (QRAT)가 시스템에 설치된다고 한다.

한 편 Trustwave의 수석 보안 연구원인 Diana Lopera는 기사에서 “우리는 해커들이 최근 미 대선을 이용해 사이버 범죄를 저지르려 했다는 것을 확인했다”라고 밝히며 해당 공격은 지난 8월에 발견된 적 있는 Windows 기반 QRAT 다운로더의 변을 이용하고자 한 것으로 드러났다.

악성 코드

QRAT는 시스템 정보를 얻고 파일 작업을 실행, 구글, 크롬, 파이어폭스, 썬더버드 및 마이크로소프트 아웃룩과 같은 응용 프로그램에서 자격 증명을 얻는 기능을 가진 일반적인 RAT 파일이다.

이 악의적인 활동에는 실행중인 JAR이 침투를 위한 RAT임을 피해자에게 알리는 새로운 팝업 경고가 포함된다. 이는 또한 사용자가 확인 버튼을 클릭하면 샘플의 악의적인 동작이 나타나기 시작함을 의미한다.

node-js-malware

[출처 : 해커뉴스 / 1.8.]