A Securite360 által közzétett elemzés egy QUICKHEAL nevű rosszindulatú programot vizsgál, amellyel Kína 2021 óta kihasználta az ázsiai távközlési szolgáltatókat és amelyet nemrégiben töltöttek fel a VirusTotal platformra. Ez a kártevő egy 32 bites DLL fájl, amelyet a VMProtect eszközzel védtek a visszafejtés ellen. Az elemzés során kiderült, hogy a malware képes a Mozilla Firefox böngészőben tárolt hitelesítő adatok, például jelszavak és egyéb érzékeny információk ellopására. Ezenkívül a kártevő valószínűleg a Microsoft Internet Explorerben tárolt jelszavak megszerzésére is alkalmas, mivel manipulálja az IE specifikus GUID-ját, és használja a CryptUnprotectData és CredEnumerateA API-kat. A malware kommunikációs csatornái között megtalálható egy keménykódolt C2 cím és port, valamint egy meghatározott felhasználói ügynök (user-agent). Érdekes módon a kártevő megpróbál HTTP-kapcsolatot létesíteni proxy-n keresztül, amit a kódban található “Proxy-Authenticate: NTLM” és hasonló stringek jeleznek. Az elemzés arra is rámutat, hogy a malware fejlesztői jelentős erőfeszítéseket tettek a kód obfuszkálására, például a cmd.exe átnevezésével alg.exe-re, hogy elkerüljék a gyanút, valamint egyedi API-megoldó használatával a közvetlen API-hívások elkerülése érdekében.

FORRÁS