ከቅርብ ዓመታት ወዲህ የሞባይል ትሮጃኖች ትሮጃኖችን ለግል ኮምፒዩተሮች በንቃት በመተካት ላይ ናቸው ፣ስለዚህ ለጥሩ አሮጌ "መኪናዎች" አዲስ ማልዌር ብቅ ማለት እና በሳይበር ወንጀለኞች በንቃት መጠቀማቸው ምንም እንኳን ደስ የማይል ክስተት ቢሆንም አሁንም ክስተት ነው። በቅርቡ የ CERT ቡድን-IB XNUMX/XNUMX የመረጃ ደህንነት ክስተት ምላሽ ማዕከል አዲስ ማልዌር ለፒሲዎች እየደበቀ ያለ ያልተለመደ የማስገር ኢሜይል የኪይሎገር እና የይለፍ ቃል ስታይለርን ተግባራት አጣምሮ አግኝቷል። የተንታኞች ትኩረት ስፓይዌር እንዴት በተጠቃሚው ማሽን ላይ እንደገባ - ታዋቂ የድምጽ መልእክተኛ በመጠቀም። Ilya Pomerantsev, የተንኮል አዘል ኮድ CERT ቡድን-IB ትንተና ባለሙያ, ማልዌር እንዴት እንደሚሰራ, ለምን አደገኛ እንደሆነ እና እንዲያውም ፈጣሪውን እንዳገኘው - በሩቅ ኢራቅ ውስጥ.
ስለዚህ, በቅደም ተከተል እንሂድ. በአባሪነት ሽፋን ፣ እንደዚህ ዓይነቱ ደብዳቤ ተጠቃሚው ወደ ጣቢያው የገባበትን ጠቅ ሲደረግ ስዕል ይይዛል ። cdn.discordapp.com፣ እና ተንኮል አዘል ፋይል ከዚያ ወርዷል።
Discord ን በመጠቀም ነፃ የድምፅ እና የጽሑፍ መልእክት ከሳጥን ውጭ ነው። አብዛኛውን ጊዜ ሌሎች መልእክተኞች ወይም ማህበራዊ አውታረ መረቦች ለእነዚህ አላማዎች ጥቅም ላይ ይውላሉ.
በበለጠ ዝርዝር ትንታኔ ወቅት፣ የማልዌር ቤተሰብ ተለይቷል። ለማልዌር ገበያ አዲስ መጤ ሆኖ ተገኘ - 404 ኪይሎገር.
ስለ ኪይሎገር ሽያጭ የመጀመሪያው ማስታወቂያ ተለጠፈ hackforums ተጠቃሚ በ "404 Coder" ቅፅል ስም ነሐሴ 8 ቀን።
የመደብሩ ጎራ በቅርብ ጊዜ ተመዝግቧል - ሴፕቴምበር 7፣ 2019።
በጣቢያው ላይ ባሉ ገንቢዎች መሠረት 404ፕሮጀክቶች[.]xyz, 404 ኩባንያዎች ስለ ደንበኞቻቸው ድርጊት (በፈቃዳቸው) ወይም ሁለትዮሽነታቸውን ከተገላቢጦሽ ምህንድስና ለመጠበቅ ለሚፈልጉ ሰዎች እንዲያውቁ ለመርዳት የተፈጠረ መሣሪያ ነው። ወደ ፊት ስንመለከት በመጨረሻው ተግባር እንበል 404 በእርግጠኝነት አይሰራም.
ከፋይሎቹ ውስጥ አንዱን ለመፍታት ወስነናል እና "BEST SMART KeyLOGGER" ምን እንደሆነ ያረጋግጡ።
HPE ሥነ ምህዳር
ጫኚ 1 (አቲላ ክሪፕተር)
ዋናው ፋይል በ EaxObfuscator እና ሁለት-ደረጃ ጭነት ያከናውናል ጥበቃ አድርግ ከሃብቶች ክፍል. በVirusTotal ላይ የተገኙ ሌሎች ናሙናዎችን ሲተነተን ይህ ደረጃ በገንቢው በራሱ የታሰበ ሳይሆን በደንበኛው የተጨመረ መሆኑ ግልጽ ሆነ። በኋላ ይህ ቡት ጫኚ AtillaCrypter መሆኑ ታወቀ።
ጫኚ 2 (አትProtect)
እንደ እውነቱ ከሆነ ይህ ጫኚ የማልዌር አካል ነው እና እንደ ገንቢው ገለጻ የመቃወም ትንታኔን ተግባራዊነት መውሰድ አለበት።
ነገር ግን፣ በተግባር፣ የጥበቃ ዘዴዎች እጅግ በጣም ጥንታዊ ናቸው፣ እና ስርዓቶቻችን ይህን ማልዌር በተሳካ ሁኔታ ያገኙታል።
ዋናው ሞጁል በመጠቀም ተጭኗል ፍራንሲ ሼል ኮድ የተለያዩ ስሪቶች. ሆኖም፣ ሌሎች አማራጮችን መጠቀም እንደሚቻል፣ ለምሳሌ፡- RunPE.
የማዋቀር ፋይል
በስርዓቱ ውስጥ ማስተካከል
በስርዓቱ ውስጥ መጠገን በቡት ጫኚው ይቀርባል ጥበቃ አድርግተጓዳኝ ባንዲራ ከተዘጋጀ.
- ፋይሉ በመንገዱ ላይ ይገለበጣል %AppData%GFqaakZpzwm.exe.
- ፋይል እየተፈጠረ ነው። %AppData%GFqaakWinDriv.url፣ ማስጀመር Zpzwm.exe.
- በቅርንጫፍ ውስጥ HKCUSoftware MicrosoftWindowsCurrentVersionRun የማስጀመሪያ ቁልፍ ይፈጠራል። WinDrive.url.
ከሲ እና ሲ ጋር መስተጋብር
ጫኚን ይጠብቁ
ተጓዳኝ ባንዲራ ካለ ማልዌር የተደበቀ ሂደትን ሊጀምር ይችላል። ተመራማሪ እና የተሳካ ኢንፌክሽን መኖሩን ለአገልጋዩ ለማሳወቅ የቀረበውን አገናኝ ይከተሉ።
መረጃ ሰጭ
ጥቅም ላይ የዋለው ዘዴ ምንም ይሁን ምን የኔትወርክ ግንኙነት የሚጀምረው ሀብቱን በመጠቀም የተጎጂውን ውጫዊ አይፒ በማግኘት ነው [http://checkip[.]dyndns[.]org/.
የተጠቃሚ ወኪል፡ ሞዚላ/4.0 (ተኳሃኝ፡ MSIE 6.0፤ Windows NT 5.2፤ .NET CLR1.0.3705፤)
የመልእክቱ አጠቃላይ መዋቅር ተመሳሳይ ነው። ርዕስ አለ
|——- 404 ኪይሎገር — {ዓይነት} ——-|የት {አይነት} ከሚተላለፈው የመረጃ አይነት ጋር ይዛመዳል።
የሚከተለው ስለ ስርዓቱ መረጃ ነው.
_______ + የተጎጂ መረጃ + _______
አይፒ፡ {ውጫዊ IP}
የባለቤት ስም፡ {የኮምፒውተር ስም}
የስርዓተ ክወና ስም፡ {የስርዓተ ክወና ስም}
የስርዓተ ክወና ስሪት፡ {OS ስሪት}
የስርዓተ ክወና መድረክ፡ {ፕላትፎርም}
የ RAM መጠን፡ {የራም መጠን}
______________________________
እና በመጨረሻም, የተላለፈው ውሂብ.
SMTP
የኢሜል ርእሰ ጉዳይ ይህን ይመስላል። 404 ኪ | {የመልእክት አይነት} | የደንበኛ ስም፡ {የተጠቃሚ ስም}.
የሚገርመው, ለደንበኛው ደብዳቤዎችን ለማድረስ 404 ኪይሎገር የገንቢው SMTP አገልጋይ ጥቅም ላይ ይውላል።
ይህም አንዳንድ ደንበኞችን እንዲሁም የአንዱን ገንቢ መልዕክት ለመለየት አስችሎታል።
የ FTP
ይህንን ዘዴ ሲጠቀሙ, የተሰበሰበው መረጃ በፋይል ውስጥ ይቀመጣል እና ወዲያውኑ ከዚያ ያንብቡ.
የዚህ ድርጊት አመክንዮ ሙሉ በሙሉ ግልጽ አይደለም, ነገር ግን የባህርይ ደንቦችን ለመጻፍ ተጨማሪ ቅርስ ይፈጥራል.
%HOMEDRIVE%%HOMEPATH%DocumentsA{ብጁ ቁጥር}.txt
Pastebin
በመተንተን ጊዜ, ይህ ዘዴ የተሰረቁ የይለፍ ቃሎችን ለማስተላለፍ ብቻ ነው. ከዚህም በላይ ከመጀመሪያዎቹ ሁለቱ እንደ አማራጭ ሳይሆን በትይዩነት ጥቅም ላይ ይውላል. ሁኔታው ከ "ቫቫ" ጋር እኩል የሆነ ቋሚ እሴት ነው. ምናልባት ይህ የደንበኛው ስም ነው።
ግንኙነቱ የሚከናወነው በ https ፕሮቶኮል በኤፒአይ በኩል ነው። ፓስታቢን. ትርጉም api_paste_የግል እኩል PASTE_UNLISTEDእንደዚህ ያሉ ገጾች እንዳይፈለጉ የሚከለክለው ፓስታቢን.
የምስጠራ ስልተ ቀመሮች
ፋይልን ከሃብቶች ሰርስሮ ማውጣት
ክፍያው በጫኝ መርጃዎች ውስጥ ተከማችቷል ጥበቃ አድርግ በ Bitmaps መልክ. ማውጣት በበርካታ ደረጃዎች ይከናወናል-
- ከሥዕሉ የባይት ድርድር ይወጣል። እያንዳንዱ ፒክሰል በBGR ቅደም ተከተል የ3 ባይት ቅደም ተከተል ተደርጎ ይወሰዳል። ከተጣራ በኋላ የመጀመሪያዎቹ 4 ባይቶች የመልዕክቱን ርዝመት ያከማቻሉ, ቀጣዩ - መልእክቱ ራሱ.
- ቁልፉ ይሰላል. ይህንን ለማድረግ MD5 እንደ የይለፍ ቃል ከተገለጸው "ZpzwmjMJyfTNiRalKVrcSkxCN" እሴት ይሰላል። የተገኘው ሃሽ ሁለት ጊዜ ተጽፏል።
- ዲክሪፕት ማድረግ የሚከናወነው በኤኢኤስ አልጎሪዝም በ ECB ሁነታ ነው።
ተንኮል አዘል ተግባር
አውራጅ
በቡት ጫኚው ውስጥ ተተግብሯል። ጥበቃ አድርግ.
- ይግባኝ በ [activelink-repalce] ፋይሉን ለመስጠት ዝግጁ ስለመሆኑ የአገልጋዩ ሁኔታ ይጠየቃል። አገልጋዩ መመለስ አለበት። “በርቷል”.
- አገናኝ [አውርድ አገናኝ-ተተካ] ክፍያው ወርዷል.
- በ እገዛ ፍራንሲሼልኮድ ክፍያ በሂደቱ ውስጥ ገብቷል [inj-ተካ].
በጎራ ትንተና ወቅት 404ፕሮጀክቶች[.]xyz በVirusTotal ላይ ተጨማሪ አጋጣሚዎች ተለይተዋል። 404 ኪይሎገር, እንዲሁም በርካታ አይነት ሎደሮች.
በተለምዶ እነሱ በሁለት ዓይነቶች ይከፈላሉ-
- መጫን የሚከናወነው ከሀብቱ ነው 404ፕሮጀክቶች[.]xyz.
መረጃው Base64 የተመሰጠረ እና AES የተመሰጠረ ነው። - ይህ አማራጭ ብዙ ደረጃዎችን ያቀፈ ነው እና ምናልባትም ከቡት ጫኚው ጋር አብሮ ጥቅም ላይ ይውላል ጥበቃ አድርግ.
- በመጀመሪያው ደረጃ, ውሂቡ ከ ተጭኗል ፓስታቢን እና ተግባሩን በመጠቀም ዲኮድ HexToByte.
- በሁለተኛው ደረጃ, የማውረጃው ምንጭ ራሱ ነው 404ፕሮጀክቶች[.]xyz. በተመሳሳይ ጊዜ, የመፍቻ እና የመፍታት ተግባራት በ DataStealer ውስጥ ከሚገኙት ጋር ተመሳሳይ ናቸው. ምናልባትም, በመጀመሪያ በዋናው ሞጁል ውስጥ የመጫኛ ተግባርን ተግባራዊ ለማድረግ ታቅዶ ነበር.
- በዚህ ጊዜ, የደመወዝ ጭነት ቀድሞውኑ በንብረት መግለጫው ውስጥ በተጨመቀ ቅጽ ውስጥ ነው. በዋናው ሞጁል ውስጥ ተመሳሳይ የማውጣት ተግባራትም ተገኝተዋል።
ከተተነተኑት ፋይሎች መካከል ጫኚዎች ተገኝተዋል njRat, ስፓይጌት እና ሌሎች RATs.
ኪሎግራፍ
የምዝግብ ማስታወሻ መላኪያ ጊዜ: 30 ደቂቃዎች.
ሁሉም ቁምፊዎች ይደገፋሉ. ልዩ ገፀ ባህሪያት አምልጠዋል። የBackSpace እና Delete ቁልፎችን ማቀናበር አለ። መመዝገቢያ ግምት ውስጥ ይገባል.
ክሊፕቦርድሎገር
የምዝግብ ማስታወሻ መላኪያ ጊዜ: 30 ደቂቃዎች.
ቋት የምርጫ ጊዜ፡ 0,1 ሰከንድ።
የተተገበረ አገናኝ ማምለጥ።
ScreenLogger
የምዝግብ ማስታወሻ መላኪያ ጊዜ: 60 ደቂቃዎች.
ቅጽበታዊ ገጽ እይታዎች ተቀምጠዋል %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
ማህደሩን ከላከ በኋላ 404k ተወግዷል።
የይለፍ ቃል መስረቅ
| አሳሾች | ደንበኞችን ኢሜይል ያድርጉ | የኤፍቲፒ ደንበኞች |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | ተንደርበርድ | |
| SeaMonkey | የቀበሮ ደብዳቤ | |
| አይስድራጎን | ||
| Palemoon | ||
| ሳይበር Firefox | ||
| Chrome | ||
| BraveBrowser | ||
| QQአሳሽ | ||
| አይሪዲየም አሳሽ | ||
| XvastBrowser | ||
| Chedot | ||
| 360 አሳሽ | ||
| ኮሞዶድራጎን | ||
| 360 Chrome | ||
| ሱፐርቢርድ | ||
| ሴንት አሳሽ | ||
| GhostBrowser | ||
| አይረን አሳሽ | ||
| የ Chromium | ||
| Vivaldi | ||
| Slimjet አሳሽ | ||
| ምህዋር | ||
| ኮክኮክ | ||
| ችቦ | ||
| UCBrowser | ||
| EpicBrowser | ||
| Blisk አሳሽ | ||
| Opera |
ተለዋዋጭ ትንታኔን መቃወም
- ሂደቱ በመተንተን ላይ መሆኑን ማረጋገጥ
ሂደቶችን በመፈለግ ይከናወናል ተግባር mgr, ProcessHacker, procexp64, procexp, ፕሮክሞን. ቢያንስ አንዱ ከተገኘ ማልዌር ይወጣል።
- ምናባዊ አካባቢ ውስጥ ከሆኑ በማጣራት ላይ
ሂደቶችን በመፈለግ ይከናወናል vmtoolsd, VGAuth አገልግሎት, vmacthlp, ቪቦክስ አገልግሎት, ቪቦክስትሪ. ቢያንስ አንዱ ከተገኘ ማልዌር ይወጣል።
- ለ 5 ሰከንድ ተኛ
- የተለያዩ አይነት የንግግር ሳጥኖችን ማሳየት
አንዳንድ የአሸዋ ሳጥኖችን ለማለፍ ሊያገለግል ይችላል።
- UACን ማለፍ
የመመዝገቢያ ቁልፍን በማስተካከል ይከናወናል EnableLUA የቡድን ፖሊሲ ቅንብሮች ውስጥ.
- የተደበቀውን ባህሪ አሁን ባለው ፋይል ላይ ተግብር።
- የአሁኑን ፋይል የመሰረዝ ችሎታ.
ንቁ ያልሆኑ ባህሪዎች
በጫኛው እና በዋናው ሞጁል ትንተና ወቅት ለተጨማሪ ተግባራት ኃላፊነት ያላቸው ተግባራት ተገኝተዋል ነገር ግን በየትኛውም ቦታ ጥቅም ላይ አይውሉም. ይህ ሊሆን የቻለው ማልዌር ገና በመገንባት ላይ ስለሆነ እና በቅርቡ ተግባራዊነቱ ስለሚሰፋ ነው።
ጫኚን ይጠብቁ
በሂደቱ ውስጥ የመጫን እና የማስገባት ሃላፊነት ያለው ተግባር ተገኝቷል msiexec.exe የዘፈቀደ ሞጁል.
መረጃ ሰጭ
- በስርዓቱ ውስጥ ማስተካከል
- የመበስበስ እና የመፍታት ተግባራት
በኔትወርክ መስተጋብር ወቅት የመረጃ ምስጠራ በቅርቡ ተግባራዊ ሊሆን ይችላል። - የፀረ-ቫይረስ ሂደቶችን ማብቃት
| zlclient | ዲቪፒ95_0 | የታጠፈ | አማካኝ አገልጋይ9 |
| egui | ሞተር | pavw | avgserv9schedapp |
| ብዳጀንት | Esafe | ፒሲሲኦሞን | avgemc |
| npfmsg | ኤስሰዋች | PCCMAIN | አሽዌብስቭ |
| olydbg | F-Agnt95 | pccwin98 | አሽዲስፕ |
| አናቢስ | Findvirus | ፒሲፍዋሊኮን | ashmaisv |
| wireshark | fprot | Persfw | አሽሰርቨር |
| አቫስቱይ | የ F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | ኤፍፒ አሸነፈ | ራቭ 7 | Norton |
| ኤምባም | frw | ራቭ7ዊን | ኖርተን ራስ-መከላከያ |
| የቁልፍ መጥረጊያ | F-Stopw | ማዳን | ኖርተን_አቭ |
| _Avpcc | imapp | SafeWeb | ኖርቶናቭ |
| _Avpm | ኢምሰርቭ | ቅኝት 32 | ccsetmgr |
| አክዊን32 | ኢብማስን። | ቅኝት 95 | ccevtmgr |
| የወጪ | ኢብማቭስፕ | ቅኝት | አቫድሚን |
| ፀረ-ትሮጃን | አይክሎድ95 | ስክሪን | avcenter |
| ANTIVIR | Icloadnt | አገልጋይ95 | አማካኝ |
| አፕክስድዊን። | አይኮን | smc | avguard |
| ATRACK | Icsup95 | አጭር አገልግሎት | ማስረዳት |
| ራስ-ማውረድ | Icsupnt | ስላም | አቭስካን |
| አቭኮንሶል | ኢፌስ | ሰፊኒክስ | Guardgui |
| ጎዳና 32 | ኢዮሞን98 | ጠረግ 95 | nod32krn |
| አማካኝ | ጄዲ | ሲምፕሮክሲሲቪሲ | nod32kui |
| አቭክሰርቨር | መቆለፊያ 2000 | ትብስካን | ክላምስካን |
| አቨንት | ተመልከት | ቲካ | ክላምትሪ |
| አፕ | ሉል | Tds2-98 | ክላምዊን |
| አማካይ 32 | ኤምሲኤፍኢ | Tds2-ኤን | አዲስ |
| አቪሲሲ | ሙላይቭ | ተርሚኔት | ኦላዲን |
| አፕዶስ32 | mpftray | ቬት95 | የሲግ መሳሪያ |
| አቪፒኤም | N32scanw | Vettaray | w9xpopen |
| አፕፕትሲ32 | NAVAPSVC | ቪስካን40 | ዝጋ |
| አፕፕፕድ | NAVAPW32 | ቪሴኮምር | cmgradian |
| Avsched32 | NAVLU32 | ቪሽዊን32 | alogserver |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| አቭዊን95 | NAVRUNR | webscanx | vshwin32 |
| አቭዉፕድ32 | Navw32 | ዌብትራፕ | አቭኮንሶል |
| ብላክ | Navwnt | Wfindv32 | vsstat |
| ጥቁር በረዶ | ኒዮዋች | የዞን ማንቂያ | avsynmgr |
| cfiadmin | NASSERV | LOCKdown2000 | avcmd |
| Cfiaudit | ኒሱም | አድን32 | avconfig |
| Cfinet | n ዋና | LUCOMSERVER | licmgr |
| Cfinet32 | መደበኛ ባለሙያ | አማካይ ሲሲ | ሼድ |
| ክላው95 | Norton | አማካይ ሲሲ | አስቀድሞ የተዘጋጀ |
| ክላው95cf | አሻሽል። | avgamsvr | MsMpEng |
| ማጽጃ | Nvc95 | avgupsvc | MSASCui |
| ማጽጃ3 | የወጪ | አማካይ | Avira.Systray |
| Defwatch | አስተዳዳሪ | አማካይ 32 | |
| ዲቪፒ95 | Pavcl | avgserv |
- ራስን ማጥፋት
- ከተጠቀሰው አንጸባራቂ ምንጭ ውሂብን በመጫን ላይ
- በመንገዱ ላይ አንድ ፋይል መቅዳት %Temp%tmpG[የአሁኑ ቀን እና ሰዓት በሚሊሰከንዶች]።tmp
የሚገርመው፣ በAgentTesla ማልዌር ውስጥ አንድ አይነት ተግባር አለ። - ትል ተግባራዊነት
ተንኮል አዘል ዌር ተነቃይ ሚዲያ ዝርዝር ይቀበላል። የማልዌር ቅጂ የሚፈጠረው በሚዲያ ፋይል ስርዓት ስር በስሙ ነው። Sys.exe. Autostart ፋይሉን በመጠቀም ነው የሚተገበረው። autorun.inf.
የአጥቂ መገለጫ
በትእዛዝ ማዕከሉ ትንተና ወቅት የገንቢውን ደብዳቤ እና ቅጽል ስም - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder ማቋቋም ተችሏል. በተጨማሪም, በዩቲዩብ ላይ አስደሳች ቪዲዮ ተገኝቷል, ይህም ከገንቢው ጋር ያለውን ስራ ያሳያል.
ይህም ዋናውን የገንቢ ቻናል ለማግኘት አስችሎታል።
ክሪፕቶርን በመጻፍ ልምድ እንደነበረው ግልጽ ሆነ. በማህበራዊ አውታረመረቦች ላይ ወደ ገፆች አገናኞች, እንዲሁም የጸሐፊው ትክክለኛ ስምም አሉ. የኢራቅ ነዋሪ ሆነ።
የ404 ኪይሎገር ገንቢ ይህን ይመስላል። ፎቶ ከግል ፌስቡክ መገለጫው።
CERT ቡድን-IB በባህሬን አዲስ ስጋት - 404 ኪይሎገር - XNUMX/XNUMX የሳይበር ስጋት ክትትል እና ምላሽ ማዕከል (SOC) አስታውቋል።
ምንጭ: hab.com