SOS :: Security Operation Space
16 октября, среда, 00:00
|
Hot News:

Зловред Qealler крадет логины и пароли для десятков ресурсов

08 февраля 2019 г., пятница, 16:25

Новый похититель информации использует в качестве полезной нагрузки бесплатную утилиту с открытым кодом.

Вредоносный скрипт, похищающий пароли для целого спектра ресурсов и приложений, хранящиеся на целевом устройстве, попал в поле зрения ИБ-специалистов.

Атаки зловреда, получившего название Qealler, начались во второй половине января и достигли пика на этой неделе. Вредоносная программа представляет собой обфусцированный Java-загрузчик, который доставляет на зараженный компьютер похититель информации с открытым кодом.

Точкой входа на устройство жертвы является электронное письмо, к которому прикреплен JAR-файл с именем Remittance («денежный перевод»). Дважды кликнув по вложению, пользователь запускает выполнение вредоносного сценария, который в первую очередь проверяет наличие на компьютере ранних версий зловреда, и загружает необходимые файлы с сервера. Программа применяет сложный алгоритм создания целевых каталогов для своих компонентов, формирования имен отдельных объектов и определения адреса файлового хранилища.

В качестве полезной нагрузки Qealler доставляет в инфицированную систему программу для похищения информации LaZagne, дистрибутив которой доступен в репозитории GitHub. Зловред представляет собой скрипт на Python, который извлекает логины и пароли из десятков приложений. В списке его целей основные браузеры, почтовые клиенты, мессенджеры, утилиты для администрирования, а также несколько игр. Он упаковывает полученные сведения в JSON-контейнер, шифрует его и передает на сервер злоумышленников.

Атаки Qealler зафиксировали несколько независимых групп ИБ-специалистов. Зловред использует разные серверы для скачивания полезной нагрузки и передачи данных. Сайт Abuse.ch  собрал два десятка ресурсов, связанных с этим штаммом — на момент публикации все они были отключены.

Еще один новый похититель информации аналитики обнаружили в декабре прошлого года. Зловред Vidar нацелен на кражу данных криптокошельков, сообщений мессенджеров и отдельных файлов. Программа является одним из вариантов уже известного скрипта Arkei, но имеет некоторые отличия в исходном коде. Злоумышленники вскоре взяли новинку на вооружение — в начале января исследователи зафиксировали вредоносную кампанию, которая доставляла Vidar вместе с шифровальщиком GandCrab.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
06:15
17:21
17:07
16:03
13:15
10:15
09:15
08:15
07:15
06:15
05:38
17:15
15:59
15:15
14:15
12:15
10:15
09:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.416
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.