Sa bag-ohay nga mga tuig, ang mga mobile Trojans aktibo nga nag-ilis sa mga Trojans alang sa personal nga mga kompyuter, mao nga ang pagtunga sa bag-ong malware alang sa maayo nga daan nga "mga sakyanan" ug ang ilang aktibong paggamit sa mga cybercriminal, bisan pa dili maayo, usa gihapon ka panghitabo. Bag-o lang, ang CERT Group-IB's 24/7 information security incident response center nakamatikod sa usa ka talagsaon nga phishing email nga nagtago sa usa ka bag-ong PC malware nga naghiusa sa mga gimbuhaton sa Keylogger ug PasswordStealer. Ang atensyon sa mga analista nadani kung giunsa ang spyware nakasulod sa makina sa gumagamit - gamit ang usa ka sikat nga voice messenger. Ilya Pomerantsev, usa ka espesyalista sa pag-analisa sa malware sa CERT Group-IB, mipasabut kung giunsa ang paglihok sa malware, ngano nga kini delikado, ug nakit-an pa ang naghimo niini sa layo nga Iraq.
Busa, magsunod-sunod ta. Ubos sa takup sa usa ka attachment, ang ingon nga sulat adunay usa ka litrato, sa pag-klik diin ang tiggamit gidala sa site cdn.discordapp.com, ug usa ka malisyosong file ang gi-download gikan didto.
Ang paggamit sa Discord, usa ka libre nga tingog ug text messenger, dili kasagaran. Kasagaran, ang ubang mga instant messenger o social network gigamit alang niini nga mga katuyoan.
Atol sa usa ka mas detalyado nga pagtuki, usa ka pamilya sa malware ang giila. Kini nahimo nga usa ka bag-ong nangabot sa merkado sa malware - 404 Keylogger.
Ang unang advertisement alang sa pagbaligya sa usa ka keylogger gibutang sa hackforums pinaagi sa tiggamit ubos sa angga nga "404 Coder" niadtong Agosto 8.
Ang domain sa tindahan bag-o lang narehistro - kaniadtong Setyembre 7, 2019.
Sama sa giingon sa mga developer sa website 404mga proyekto[.]xyz, 404 usa ka himan nga gidisenyo aron matabangan ang mga kompanya nga makat-on bahin sa mga kalihokan sa ilang mga kostumer (uban ang ilang pagtugot) o alang sa mga gusto nga panalipdan ang ilang binary gikan sa reverse engineering. Sa pagtan-aw sa unahan, isulti kana sa katapusan nga buluhaton 404 siguradong dili makaya.
Nakahukom kami nga balihon ang usa sa mga file ug susihon kung unsa ang "BEST SMART KEYLOGGER".
Malware nga ekosistema
Loader 1 (AtillaCrypter)
Ang gigikanan nga file gipanalipdan gamit ang EaxObfuscator ug naghimo sa duha ka lakang nga pagkarga AtProtect gikan sa seksyon sa mga kapanguhaan. Atol sa pagtuki sa ubang mga sample nga nakit-an sa VirusTotal, nahimong klaro nga kini nga yugto wala gihatag sa developer mismo, apan gidugang sa iyang kliyente. Sa ulahi nahibal-an nga kini nga bootloader mao ang AtillaCrypter.
Bootloader 2 (AtProtect)
Sa tinuud, kini nga loader usa ka hinungdanon nga bahin sa malware ug, sumala sa katuyoan sa nag-develop, kinahanglan nga gamiton ang pagpaandar sa pag-analisar sa pag-counter.
Bisan pa, sa praktis, ang mga mekanismo sa pagpanalipod labi ka karaan, ug ang among mga sistema malampuson nga nakamatikod niini nga malware.
Ang nag-unang module gikarga gamit Franchy ShellCode lain-laing mga bersyon. Bisan pa, wala namon iapil nga ang ubang mga kapilian mahimo’g gigamit, pananglitan, RunPE.
Pag-configure nga file
Pag-ayo sa sistema
Ang pagkonsolida sa sistema gisiguro sa bootloader AtProtect, kon ang katugbang nga bandila gibutang.
- Ang file gikopya subay sa dalan %AppData%GFqaakZpzwm.exe.
- Gihimo ang file %AppData%GFqaakWinDriv.url, paglansad Zpzwm.exe.
- Sa thread HKCUSoftwareMicrosoftWindowsCurrentVersionRun usa ka yawe sa pagsugod gihimo WinDriv.url.
Interaksyon sa C&C
Loader AtProtect
Kung ang angay nga bandila anaa, ang malware mahimong maglunsad og usa ka tinago nga proseso iexplorer ug sundan ang gipiho nga link aron mapahibalo ang server bahin sa malampuson nga impeksyon.
DataStealer
Bisan unsa pa ang pamaagi nga gigamit, ang komunikasyon sa network nagsugod sa pagkuha sa eksternal nga IP sa biktima gamit ang kapanguhaan [http]://checkip[.]dyndns[.]org/.
Ahente sa Gumagamit: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Ang kinatibuk-ang istruktura sa mensahe parehas. Naa ang ulohan
|——- 404 Keylogger — {Type} ——-|diin {matang} katumbas sa matang sa impormasyon nga gipasa.
Ang mosunod mao ang impormasyon mahitungod sa sistema:
_______ + IMPORMASYON SA BIKTIMA + _______
IP: {External IP}
Ngalan sa Tag-iya: {Computer name}
Ngalan sa OS: {Ngalan sa OS}
Bersyon sa OS: {Bersyon sa OS}
OS Plataporma: {Platform}
Gidak-on sa RAM: {gidak-on sa RAM}
______________________________
Ug sa katapusan, ang gipasa nga datos.
SMTP
Ang hilisgutan sa sulat mao ang mosunod: 404 K | {Matang sa Mensahe} | Ngalan sa Kliyente: {Username}.
Makapainteres, sa paghatod sa mga sulat ngadto sa kliyente 404 Keylogger Gigamit ang SMTP server sa mga developer.
Kini nagpaposible sa pag-ila sa pipila ka mga kliyente, ingon man sa email sa usa sa mga developers.
FTP
Kung gigamit kini nga pamaagi, ang nakolekta nga kasayuran gitipigan sa usa ka file ug gibasa dayon gikan didto.
Ang lohika sa likod niini nga aksyon dili hingpit nga klaro, apan kini nagmugna og dugang nga artifact alang sa pagsulat sa mga lagda sa pamatasan.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Arbitraryong numero}.txt
Pastebin
Sa panahon sa pagtuki, kini nga pamaagi gigamit lamang sa pagbalhin sa gikawat nga mga password. Dugang pa, kini gigamit dili ingon nga usa ka alternatibo sa unang duha, apan sa parallel. Ang kondisyon mao ang bili sa kanunay nga katumbas sa "Vavaa". Tingali kini ang ngalan sa kliyente.
Ang interaksyon mahitabo pinaagi sa https protocol pinaagi sa API pastebin. Kahulogan api_paste_private managsama PASTE_UNLISTED, nga nagdili sa pagpangita sa maong mga panid sa pastebin.
Mga algorithm sa pag-encrypt
Pagkuha sa usa ka file gikan sa mga kapanguhaan
Ang payload gitipigan sa mga kapanguhaan sa bootloader AtProtect sa porma sa mga hulagway sa Bitmap. Ang pagkuha gihimo sa daghang mga yugto:
- Usa ka han-ay sa mga byte ang gikuha gikan sa imahe. Ang matag pixel giisip nga usa ka han-ay sa 3 bytes sa BGR order. Pagkahuman sa pagkuha, ang una nga 4 ka byte sa array nagtipig sa gitas-on sa mensahe, ang mga sunod nga nagtipig sa mensahe mismo.
- Ang yawe gikalkulo. Aron mahimo kini, ang MD5 gikalkulo gikan sa kantidad nga "ZpzwmjMJyfTNiRalKVrcSkxCN" nga gitakda isip password. Ang resulta nga hash gisulat sa makaduha.
- Ang pag-decryption gihimo gamit ang AES algorithm sa ECB mode.
Malisyoso nga gamit
downloader
Gipatuman sa bootloader AtProtect.
- Pinaagi sa pagkontak [activelink-repalce] Gihangyo ang kahimtang sa server aron makumpirma nga andam na kini nga i-serve ang file. Ang server kinahanglan nga mobalik "SA".
- Pinaagi sa link [downloadlink-ilis] Ang payload gi-download.
- Uban sa tabang sa FranchyShellcode ang payload gi-inject sa proseso [inj-ilis].
Atol sa pagtuki sa domain 404mga proyekto[.]xyz dugang nga mga higayon ang giila sa VirusTotal 404 Keylogger, ingon man usab sa daghang mga matang sa mga loader.
Conventionally, sila gibahin ngadto sa duha ka matang:
- Ang pag-download gihimo gikan sa kapanguhaan 404mga proyekto[.]xyz.
Ang datos gi-encode sa Base64 ug gi-encrypt ang AES. - Kini nga kapilian naglangkob sa daghang mga yugto ug lagmit nga gigamit kauban ang usa ka bootloader AtProtect.
- Sa unang yugto, ang datos gikarga gikan sa pastebin ug gi-decode gamit ang function HexToByte.
- Sa ikaduhang yugto, ang tinubdan sa loading mao ang 404mga proyekto[.]xyz. Bisan pa, ang mga function sa decompression ug decoding parehas sa nakit-an sa DataStealer. Tingali kini orihinal nga giplano nga ipatuman ang bootloader functionality sa main module.
- Niini nga yugto, ang payload anaa na sa resource manifest sa usa ka compressed form. Ang parehas nga mga gimbuhaton sa pagkuha nakit-an usab sa panguna nga module.
Ang mga nag-download nakit-an taliwala sa mga gi-analisa nga mga file njIlaga, SpyGate ug uban pang mga RAT.
Keylogger
Panahon sa pagpadala sa log: 30 minuto.
Ang tanan nga mga karakter gisuportahan. Ang mga espesyal nga karakter nakalingkawas. Adunay pagproseso alang sa BackSpace ug Delete keys. Sensitibo sa kaso.
ClipboardLogger
Panahon sa pagpadala sa log: 30 minuto.
Buffer nga panahon sa pagboto: 0,1 segundos.
Gipatuman nga link escape.
ScreenLogger
Panahon sa pagpadala sa log: 60 minuto.
Ang mga screenshot gitipigan sa %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Human ipadala ang folder 404k gitangtang.
PasswordStealer
| Mga browser | Mga kliyente sa mail | Mga kliyente sa FTP |
|---|---|---|
| Chrome | panglantaw | FileZilla |
| License | Thunderbird | |
| SeaMonkey | Foxmail | |
| icedragon | ||
| PaleMoon | ||
| Cyberhio | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Browser | ||
| ComodoDragon | ||
| 360Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| chromium | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| CocCoc | ||
| Torch | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Pagsumpaki sa dinamikong pagtuki
- Pagsusi kung ang usa ka proseso gisusi
Gihimo gamit ang pagpangita sa proseso taskmgr, ProcessHacker, procexp64, procexp, procmon. Kung labing menos usa ang makit-an, ang malware mogawas.
- Pagsusi kung naa ka sa usa ka virtual nga palibot
Gihimo gamit ang pagpangita sa proseso vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Kung labing menos usa ang makit-an, ang malware mogawas.
- Nakatulog sulod sa 5 segundos
- Pagpasundayag sa lain-laing mga matang sa dialog box
Mahimong gamiton sa pag-bypass sa pipila ka mga sandbox.
- Pag-bypass sa UAC
Gihimo pinaagi sa pag-edit sa registry key EnableLUA sa mga setting sa Patakaran sa Grupo.
- Ipadapat ang attribute nga "Hidden" sa kasamtangang file.
- Abilidad sa pagtangtang sa kasamtangan nga file.
Dili Aktibo nga mga Feature
Atol sa pag-analisar sa bootloader ug sa main module, nakit-an ang mga function nga responsable sa dugang nga pag-andar, apan wala kini gigamit bisan diin. Kini lagmit tungod sa kamatuoran nga ang malware anaa pa sa pag-uswag ug ang pagpaandar mapalapad sa dili madugay.
Loader AtProtect
Nakit-an ang usa ka function nga responsable sa pagkarga ug pag-inject sa proseso msiexec.exe arbitraryong module.
DataStealer
- Pag-ayo sa sistema
- Decompression ug decryption function
Kini lagmit nga ang data encryption sa panahon sa komunikasyon sa network sa dili madugay ipatuman. - Pagtapos sa mga proseso sa antivirus
| zlcclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | luwas | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Pagdaug | Gipasparan ninyu | Norton |
| mbam | Si Frw | Rav7win | Norton Auto-Protect |
| keyscrambler | F-Stopw | Pagluwas | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | I-scan32 | ccsetmgr |
| Ackwin32 | Ibmasn | I-scan95 | ccevtmgr |
| Gibutang | Ibmavsp | Scanpm | avadmin |
| Anti Trojan | Icload95 | Scrscan | avcenter |
| ANTIVIR | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | Smc | avguard |
| ATRACK | Icsupp95 | SMCSERBISYO | avnotify |
| Autodown | Icsuppnt | Snort | avscan |
| Avconsol | nawong | Sphinx | guardgui |
| Ave32 | Iomon98 | Pagwalis95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown2000 | Tbscan | clamscan |
| Avnt | Pagbantay | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | MPftray | Vet95 | sig himan |
| Avpm | N32scanw | Vetray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Suod nga |
| Avpupd | NAVAPW32 | Ang Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | zonealarm | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | Nisum | PAGLUWAS32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | eskedyul |
| Kuwak95 | NORTON | avgcc | preupd |
| Claw95cf | Pag-upgrade | avgamsvr | MsMpEng |
| Limpyo | Nvc95 | avgupsvc | MSASCui |
| Limpyo3 | Gibutang | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Si Pavcl | avgserv |
- Paglaglag sa kaugalingon
- Nag-load sa datos gikan sa gipiho nga resource manifest
- Pagkopya sa usa ka file sa usa ka dalan %Temp%tmpG[Karon nga petsa ug oras sa milliseconds].tmp
Makapainteres, adunay parehas nga function sa AgentTesla malware. - Pag-andar sa worm
Ang malware nakadawat usa ka lista sa matangtang nga media. Ang usa ka kopya sa malware gihimo sa gamut sa media file system nga adunay ngalan Sys.exe. Gipatuman ang Autorun gamit ang usa ka file autorun.inf.
Profile sa tig-atake
Atol sa pag-analisar sa command center, posible nga ma-establisar ang email ug angga sa developer - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Sunod, nakit-an namon ang usa ka makapaikag nga video sa YouTube nga nagpakita sa pagtrabaho kauban ang magtutukod.
Kini nagpaposible sa pagpangita sa orihinal nga channel sa developer.
Nahimong klaro nga siya adunay kasinatian sa pagsulat sa mga cryptographer. Adunay usab mga link sa mga panid sa mga social network, ingon man ang tinuod nga ngalan sa tagsulat. Siya nahimo nga usa ka residente sa Iraq.
Mao kini ang hitsura sa usa ka 404 Keylogger developer. Litrato gikan sa iyang personal nga profile sa Facebook.
Gipahibalo sa CERT Group-IB ang usa ka bag-ong hulga - 404 Keylogger - usa ka XNUMX-oras nga pag-monitor ug sentro sa pagtubag alang sa mga hulga sa cyber (SOC) sa Bahrain.
Source: www.habr.com