بدافزار بسیار مخربی که Qealler نامیده میشود، به گونهی طراحی شده تا اطلاعات حساس کامپیوتر یا سرور قربانی را برباید. این بدافزار با فرمت Java نوشته شده است. مهاجمین حملهی ابتدایی را با تکنیک مهندسی اجتماعی آغاز میکنند و در ادامه یک فایل مخرب JAR را که بهعنوان یک فایل مربوط به صورتحساب تغییر شکل دادهاند، برای قربانی میفرستند. وقتی کاربر برای باز کردن فایل دوبار-کلیک کند، بدافزار از یک سایت آلودهشده، دانلود میگردد. شرکت امنیتی Zscaler در ابتدا این حملات را در روز 21 ژانویهی 2019 مشاهده کرد و مدتی است که این بدافزار فعال میباشد.
نحوه عملکرد بدافزار Qealler
این فایلهای JAR بسیار مخرب با استفاده از ابزار Command-Line متن باز ProGuard که کد جاوا را فشرده، بهینهسازی و رمزگذاری مینماید. بعد از اجرای بدافزار یک فایل در مسیر %USERPROFILE% دانلود و ذخیره میگردد. اگر این دایرکتوری وجود نداشته باشد، آن را میسازد و فایل را همانجا در فایل کدگذاری شده ذخیره مینماید.
یک شماره ماشین منحصر به فرد، بههمراه دو فایل دانلود شده در مسیر فایلی دیگری ساخته میشود. فایل 7z حاوی نسخهی Repackage شدهی از 7za[.]exe و فایلهای افزودهی DLL است. فایل اجرایی 7-zip توسط نمونهی اصلی اجرا میگردد و ماژول دانلود شدهی Qealler، که بعد از اعمال رمز عبور باز میشود.
ماژول اجراشدهی Qealler حاوی Python 2.7.12 است. در صورتی که نرم افزار Framework Python در سیستم کاربر نصب نباشد ماژول را نصب میکند و یک مسیر هم به اسم QaZaqne میسازد. فایل Remittance[.]jar که استخراج شده است، یک فایل پایتون main[.]py را اجرا میکند که رمزعبورهای روی آن ویندوز آلوده را به سرقت میبرد. اطلاعات برداشته شده از سیستمعامل آلوده با BASE64 کدگذاری شده و به سرور C&C (کنترلکننده بدافزار) فرستاده میشود.