Malware de passwords basado en JAR muy ofuscado

Un nuevo malware altamente ofuscado doblado Salvediseñado para robar información sensible de la máquina infectada. El malware está escrito en java.

El ataque inicial comienza con una técnica de ingeniería social, los atacantes envían a la víctima un archivo JAR malicioso disfrazado de un archivo relacionado con la factura, cuando el usuario hace doble clic para abrir el archivo y, a continuación, el malware se descarga de un sitio comprometido.

Zscaler inicialmente observó la campaña el 21 de enero de 2019 y el malware está activo durante más de 2 semanas.

Los archivos JAR estaban muy ofuscados usando una herramienta de línea de comandos de código abierto ProGuard que reduce, optimiza y ofusca el código Java.

Tras la ejecución del malware, un archivo se descargará y guardará en % USERPROFILE% si el directorio no existe, crea el directorio y almacena el archivo en el archivo cifrado en la misma ubicación.

%USERPROFILE%\a60fcc00\bda431f8\a90f3bcc\83e7cdf9 (/lib/7z)

%USERPROFILE%\a60fcc00\bda431f8\a90f3bcc\db2bf213 (/lib/qealler)

Junto con los dos archivos descargados, se genera una ID de máquina única en otra ruta de archivo. El archivo 7z contiene unareenvasado versión de 7za [.] exe y archivos DLL adicionales.

El ejecutable 7-zip es llamado por la muestra principal y el módulo Qealler descargado es un archivo protegido por contraseña, que se abre después de aplicar la contraseña.

El módulo Qealler ejecutado contiene Python 2.7.12, en caso de que el framework Python no esté presente en el usuario El sistema instalará el módulo y también crea un directorio llamado QaZaqne.

La jarra de remesas [.] Extraída ejecuta un archivo principal de python [.] Py, que roba las credenciales en una máquina Windows infectada. La información extraída del servidor C&C se cifra y codifica con BASE64 y se envía al servidor de comando y control (C2).

Semrush sigue a tu competencia


Fecha actualización el 2019-02-11. Fecha publicación el 2019-02-11. Categoria: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers
hackers