Вредоносный скрипт, похищающий пароли для целого спектра ресурсов и приложений, хранящиеся на целевом устройстве, попал в поле зрения ИБ-специалистов.
Атаки зловреда, получившего название Qealler, начались во второй половине января и достигли пика на этой неделе. Вредоносная программа представляет собой обфусцированный Java-загрузчик, который доставляет на зараженный компьютер похититель информации с открытым кодом.
Точкой входа на устройство жертвы является электронное письмо, к которому прикреплен JAR-файл с именем Remittance («денежный перевод»). Дважды кликнув по вложению, пользователь запускает выполнение вредоносного сценария, который в первую очередь проверяет наличие на компьютере ранних версий зловреда, и загружает необходимые файлы с сервера. Программа применяет сложный алгоритм создания целевых каталогов для своих компонентов, формирования имен отдельных объектов и определения адреса файлового хранилища.
В качестве полезной нагрузки Qealler доставляет в инфицированную систему программу для похищения информации LaZagne, дистрибутив которой доступен в репозитории GitHub. Зловред представляет собой скрипт на Python, который извлекает логины и пароли из десятков приложений. В списке его целей основные браузеры, почтовые клиенты, мессенджеры, утилиты для администрирования, а также несколько игр. Он упаковывает полученные сведения в JSON-контейнер, шифрует его и передает на сервер злоумышленников.
Атаки Qealler зафиксировали несколько независимых групп ИБ-специалистов. Зловред использует разные серверы для скачивания полезной нагрузки и передачи данных. Сайт Abuse.ch собрал два десятка ресурсов (urlhaus.abuse.ch/browse/tag/Qealler/), связанных с этим штаммом — на момент публикации все они были отключены.
• Source: ecurityboulevard.com/2019/01/qealler-the-silent-java-credential-thief/
Атаки зловреда, получившего название Qealler, начались во второй половине января и достигли пика на этой неделе. Вредоносная программа представляет собой обфусцированный Java-загрузчик, который доставляет на зараженный компьютер похититель информации с открытым кодом.
Точкой входа на устройство жертвы является электронное письмо, к которому прикреплен JAR-файл с именем Remittance («денежный перевод»). Дважды кликнув по вложению, пользователь запускает выполнение вредоносного сценария, который в первую очередь проверяет наличие на компьютере ранних версий зловреда, и загружает необходимые файлы с сервера. Программа применяет сложный алгоритм создания целевых каталогов для своих компонентов, формирования имен отдельных объектов и определения адреса файлового хранилища.
В качестве полезной нагрузки Qealler доставляет в инфицированную систему программу для похищения информации LaZagne, дистрибутив которой доступен в репозитории GitHub. Зловред представляет собой скрипт на Python, который извлекает логины и пароли из десятков приложений. В списке его целей основные браузеры, почтовые клиенты, мессенджеры, утилиты для администрирования, а также несколько игр. Он упаковывает полученные сведения в JSON-контейнер, шифрует его и передает на сервер злоумышленников.
Атаки Qealler зафиксировали несколько независимых групп ИБ-специалистов. Зловред использует разные серверы для скачивания полезной нагрузки и передачи данных. Сайт Abuse.ch собрал два десятка ресурсов (urlhaus.abuse.ch/browse/tag/Qealler/), связанных с этим штаммом — на момент публикации все они были отключены.
• Source: ecurityboulevard.com/2019/01/qealler-the-silent-java-credential-thief/