Novo malware com base em JAR rouba senhas por meio de falsas faturas

Um novo malware altamente ofuscado apelidado Qealler projetado para roubar informações confidenciais da máquina infectada. O malware é escrito em java.

O ataque inicial começa com a técnica de engenharia social, os invasores enviam à vítima um arquivo JAR malicioso, disfarçado como um arquivo relacionado a fatura, quando o usuário clica duas vezes para abrir o arquivo, o malware é baixado de um site comprometido.

Zscaler inicialmente observou a campanha em 21 de janeiro de 2019, e o malware está ativo por mais de duas semanas.

Os arquivos JAR foram fortemente ofuscados usando uma ferramenta de linha de comando de código aberto ProGuard que reduz, otimiza e ofusca o código Java.

Após a execução do malware, um arquivo será baixado e salvo em % USERPROFILE%, se o diretório não existir, ele criará o diretório e armazenará o arquivo criptografado no mesmo local.

% USERPROFILE% \ a60fcc00 \ bda431f8 \ a90f3bcc \ 83e7cdf9 (/ lib / 7z)
% USERPROFILE% \ a60fcc00 \ bda431f8 \ a90f3bcc \ db2bf213 (/ lib / qealler)

Juntamente com os dois arquivos baixados, uma ID de máquina exclusiva é gerada em outro caminho de arquivo. O arquivo 7z contém um repackaged versão do 7za [.] exe e arquivos DLL adicionais.

O executável do 7-zip é chamado pela amostra principal e o módulo Qealler baixado é um arquivo protegido por senha, que é aberto após a aplicação da senha.

Qealler

O módulo Qealler executado contém o Python 2.7.12, caso a estrutura do python não esteja presente no do utilizador, o sistema instalará o módulo e também criará um diretório chamado QaZaqne.

O JAR de remessa extraído [.] Executa um arquivo python principal [.] Py, que rouba as credenciais em uma máquina Windows infectada. As informações tiradas do servidor C & C são criptografadas e codificadas com BASE64 e enviadas ao servidor de comando e controle (C2).