一种新的基于Node.js的远程访问木马恶意软件正在通过伪装成美国财政部的电子邮件进行传播。安全机构Abuse.ch发现了这个新的垃圾邮件活动,声称由于银行详细信息不正确而未支付应向政府付款。然后电子邮件会提示用户检查文档是否有错误,如果没有任何回应,这笔钱将被政府用于冠状病毒救助。虚假电邮并未显示您是上述获批资金的最终受益人,或您是否更改了收款银行账户信息?如果在5月30日之前没有认领,美国财政部预计这些资金将作为紧急救济基金分配发放,以支持COVID-19全球危机造成的困难。您的资金预计将在6月初分配。此电子邮件的附件是一个名为“CONTRACTPAYMENT.zip”的文档,其中包含一个名为“CONTRACTPAYMENT.jar”的文件。附件该恶意软件是一种名为QNodeService的新型Node.js恶意软件,由MalwareHunterTeam发现,随后由TrendMicro进行分析。执行后,此JAR文件将下载Node.js和名为Wizard.js的脚本,并将包存储在名为%UserProfile\qnodejs-node-v13.13.0-win-x64的文件夹中,如下所示。Qnodejs-node-v13.13.0-win-x64文件夹会创建一个Windows注册表运行值,以便受害者每次登录Windows时都能运行恶意软件。为持久性配置的运行键根据TrendMicro的报告,一旦安装了QNodeService,它将完全控制计算机并进一步破坏计算机以窃取数据。QNodeService恶意软件内置的以下功能可以造成进一步的破坏:自我更新;获取计算机信息,如IP地址、计算机名称、位置、用户名和操作系统版本;执行命令以下载更多有效载荷;删除和写入文件;从Chrome和Firefox等各种应用程序窃取密码。如果您成为此恶意软件的受害者,您应该立即假设您的数据和密码已被泄露。恶意软件也可用于访问网络上的其他设备。因此,您应该立即更改您保存在浏览器或其他应用程序中的任何密码。然后,检查网络、系统和其余部分以确保没有其他设备受到损害。
