اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

سرقت رمز عبور کاربران توسط بدافزار Qealler

سرقت رمز عبور کاربران توسط بدافزار Qealler با فایل های مرتبط با صورتحصاب

بدافزار بسیار مخربی که Qealler نامیده می‌شود، به گونه‌ی طراحی شده تا اطلاعات حساس کامپیوتر یا سرور قربانی را برباید. این بدافزار با فرمت Java نوشته شده است. مهاجمین حمله‌ی ابتدایی را با تکنیک مهندسی اجتماعی آغاز می‌کنند و در ادامه یک فایل مخرب JAR را که به‌عنوان یک فایل مربوط به صورت‌حساب تغییر شکل داده‌اند، برای قربانی می‌فرستند. وقتی کاربر برای باز کردن فایل دوبار-کلیک کند، بدافزار از یک سایت آلوده‌شده، دانلود می‌گردد. شرکت امنیتی Zscaler در ابتدا این حملات را در روز 21 ژانویه‌ی 2019 مشاهده کرد و مدتی است که این بدافزار فعال می‌باشد.

نحوه عملکرد بدافزار Qealler

این فایل‌های JAR بسیار مخرب با استفاده از ابزار Command-Line متن باز ProGuard که کد جاوا را فشرده، بهینه‌سازی و رمزگذاری می‌نماید. بعد از اجرای بدافزار یک فایل در مسیر %USERPROFILE% دانلود و ذخیره می‌گردد. اگر این دایرکتوری وجود نداشته باشد، آن را می‌سازد و فایل را همان‌جا در فایل کدگذاری شده ذخیره می‌نماید.

یک شماره ماشین منحصر به فرد، به‌همراه دو فایل دانلود شده در مسیر فایلی دیگری ساخته می‌شود. فایل 7z حاوی نسخه‌ی Repackage شده‌ی از 7za[.]exe و فایل‌های افزوده‌ی DLL است. فایل اجرایی 7-zip توسط نمونه‌ی اصلی اجرا می‌گردد و ماژول دانلود شده‌ی Qealler، که بعد از اعمال رمز عبور باز می‌شود.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

سرقت رمز عبور کاربران توسط بدافزار Qealler با فایل های مرتبط با صورتحصاب

ماژول اجراشده‌ی Qealler حاوی Python 2.7.12 است. در صورتی که نرم افزار Framework Python در سیستم کاربر نصب نباشد ماژول را نصب می‌کند و یک مسیر هم به اسم QaZaqne می‌سازد. فایل Remittance[.]jar که استخراج شده است، یک فایل پایتون main[.]py را اجرا می‌کند که رمزعبورهای روی آن ویندوز آلوده را به سرقت می‌برد. اطلاعات برداشته شده از سیستم‌عامل آلوده با BASE64 کدگذاری شده و به سرور C&C (کنترل‌کننده بدافزار) فرستاده می‌شود.