Qealler – មេរោគលួចលេខសម្ងាត់តាមឯកសារ​ដែលមានទាក់​ទងនឹងវិក្កយបត្រ

0

មេរោគថ្មីមួយមានឈ្មោះថា Qealler ត្រូវគេរចនាឡើងដើម្បីលួចយកព័ត៌មានសំខាន់ ពីម៉ាស៊ីនដែលមានមេរោគ។ មេរោគត្រូវគេសរសេរក្នុង java ។​ការវាយប្រហារ​ដំបូង​ចាប់ផ្តើមពីបច្ចេកទេសសង្គមហើយអ្នកវាយប្រហារបញ្ជូនឯកសារ JAR  ក្លែងក្លាយឱ្យជន រងគ្រោះ ហើយវាជាឯកសារពាក់ព័ន្ធនឹងវិក័យប័ត្រនៅពេលដែលអ្នកប្រើចុចពីរដងដើម្បី​បើកឯកសារ រួចមេរោគនឹងទាញយកពីគេហទំព័រមកសម្របសម្រួល។

Zscaler សង្កេត​ឃើញ​យុទ្ធនាការនេះកើតឡើងនៅថ្ងៃទី ២១ ខែមករាឆ្នាំ២០១៩ ហើយមេរោគធ្វើដំណើរការរយៈ​ពេល ២សប្តាហ៍។ ឯកសារ JAR ត្រូវគេលាក់បាំងដោយប្រើឧបករណ៍កូដបញ្ជា​ប្រភពកូដ​បើកចំហរ ProGuard ដែលពង្រួញអ៊ីនធឺណិត ដើម្បីបង្កប់ និងបិទបាំងកូដ Java។ នៅពេល​ដំណើរការ  ឯកសារនឹងត្រូវបានទាញយកហើយរក្សាទុកទៅកាន់% USERPROFILE% ប្រសិនបើមិនមាន​ថតវានឹងបង្កើតថតនិងទុកឯកសារក្នុងឯកសារដែលបានអ៊ិន​គ្រីបនៅ​ទីតាំងតែមួយ។

រួមជាមួយឯកសារដែលទាញយកចំនួនពីរ លេខសម្គាល់ម៉ាស៊ីនតែមួយគត់ត្រូវបាន​បង្កើត​ក្នុងផ្លូវឯកសារផ្សេងទៀត។ ឯកសារ 7z មានកំណែកញ្ចប់ឡើងវិញនៃ 7za [។ ] exe និងឯក​សារបន្ថែម DLL ។ ការប្រតិបត្តិកូដ ៧ ខ្ទង់ត្រូវគេហៅថាគំរូមេហើយម៉ូឌុល Qealler ដែល​ទាញយកគឺជាឯកសារការពារដោយពាក្យសម្ងាត់ដែលត្រូវគេបើកបន្ទាប់ពីអនុវត្តពាក្យ សម្ងាត់។

ម៉ូឌុល Executed Qealler មានប្រតិបត្តិមាន Python 2.7.12  មិនមានក្នុង​ប្រព័ន្ធរបស់អ្នកប្រើប្រាស់។ គេនឹងតំឡើងម៉ូឌុលហើយបង្កើតថតដែលមានឈ្មោះថា QaZa qne ។ ការផ្ញើរផ្ទេរ [។ ] jar ស្រង់ឯកសារ python [។ ] py) ដែលលួចអត្តសញ្ញាណនៅ​លើម៉ាស៊ីនវីនដូមានមេរោគ។ ព័ត៌មានដែលដកចេញពីម៉ាស៊ីនមេ C & C ត្រូវបានអ៊ិនគ្រីប និងអ៊ិនកូដដោយ BASE64 និងផ្ញើទៅម៉ាស៊ីនមេបញ្ជានិងបញ្ជា (C2) ៕

ប្រភពព័ត៌មាន៖

https://gbhackers.com/qealler-heavily-obfuscated/

 

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here