QWERTY info stealer
A Cyfirma jelentése egy nemrégiben felfedezett, “QWERTY Info Stealer” nevű kártevő részletes elemzésével foglalkozik. A kártevő a mailservicess[.]com tartományban volt elhelyezve, amely egy Linux-alapú VPS-kiszolgálón futott Frankfurtban, Németországban. Ez a kártevő kifinomult hibakeresés elleni stratégiákat, kiterjedt adatgyűjtést és összetett adatszivárgási módszereket alkalmaz. A QWERTY Info Stealer a Windows API-funkciók segítségével ellenőrzi a hibakereső jelenlétét, adatgyűjtést hajt végre jelentős rendszerinformációkon és az Internet Explorer adatain, további fájlokat tölt le, és fájlindexelést/exfiltrációt hajt végre. A kártevő ezután adatokat szivárogtat HTTP POST-kéréseken keresztül és elküldi egy Command and Control (C2) kiszolgálónak.
A jelentés technikai részletei alapján a QWERTY Info Stealer a széles körű adatszerzési képességek mellett magas szintű fejlettséget mutat a rendszerelemzés kijátszásában. A kiterjedt rendszer- és böngészőadatgyűjtés mellett a kártevő figyelemre méltó kiszivárgási folyamatot mutat, amely további hasznos teher letöltéséből és a HTTP POST kérés adatátviteléből áll a C2 szerverre, ami aláhúzza a jelentős fenyegetést, amelyet ez a kártevőminta jelent. Ez kiemeli a fokozott éberség és a fejlett észlelési stratégiák sürgősségét az ilyen összetett rosszindulatú támadások elhárítása érdekében.
