Nta l'ultimi anni, i troiani mobili anu rimpiazzatu attivamente i troiani per l'urdinatori persunali, per quessa, l'emergenza di novu malware per i boni vechji "cars" è u so usu attivu da i cibercriminali, ancu sgradevoli, hè sempre un avvenimentu. Recentemente, u centru di risposta à l'incidentu di sicurezza di l'infurmazioni 24/7 di CERT Group-IB hà rilevatu un email di phishing inusual chì ocultava un novu malware per PC chì combina e funzioni di Keylogger è PasswordStealer. L'attenzione di l'analista hè stata attirata da cumu u spyware hè ghjuntu à a macchina di l'utilizatori - utilizendu un messaggeru di voce populari. Ilya Pomerantsev, un specialistu di l'analisi di malware in CERT Group-IB, spiegò cumu u malware travaglia, perchè hè periculosu, è ancu trovu u so creatore in l'Iraq distante.
Allora, andemu in ordine. Sottu u guise di un attache, una tale lettera cuntene una stampa, dopu cliccà nantu à quale l'utilizatore hè statu purtatu à u situ. cdn.discordapp.com, è un schedariu maliziusu hè statu scaricatu da quì.
Utilizà Discord, un messaggeru di voce è testu gratuitu, hè abbastanza pocu cunvinziunali. Di genere, altri messageri instantani o rete suciale sò usati per questi scopi.
Durante un analisi più detallatu, una famiglia di malware hè stata identificata. Hè risultatu esse un novu vinutu à u mercatu di malware - 404 Keylogger.
U primu annunziu per a vendita di un keylogger hè statu publicatu hackforums da l'utilizatori sottu u soprannomu "404 Coder" l'8 d'Aostu.
U duminiu di a tenda hè statu registratu pocu pocu - u 7 di settembre di u 2019.
Cumu dicenu i sviluppatori nantu à u situ web 404 prughjetti[.]xyz, 404 hè un strumentu cuncepitu per aiutà l'imprese à amparà l'attività di i so clienti (cù u so permessu) o per quelli chì volenu prutege u so binariu da l'ingegneria inversa. Fighjendu avanti, dicemu chì cù l'ultimu compitu 404 di sicuru ùn affruntà micca.
Avemu decisu di riversà unu di i schedari è verificate ciò chì hè "BEST SMART KEYLOGGER".
Ecosistema di malware
Loader 1 (AtillaCrypter)
U schedariu surghjente hè prutettu usendu EaxObfuscator è esegue una carica in dui passi AtProtect da a sezione di risorse. Duranti l'analisi di altri campioni truvati in VirusTotal, hè diventatu chjaru chì sta tappa ùn hè micca furnita da u sviluppatore stessu, ma hè stata aghjunta da u so cliente. Dopu hè statu determinatu chì questu bootloader era AtillaCrypter.
Bootloader 2 (AtProtect)
In fattu, stu caricatore hè una parte integrante di u malware è, secondu l'intenzione di u sviluppatore, deve piglià a funziunalità di l'analisi di contru.
In ogni casu, in pratica, i miccanismi di prutezzione sò estremamente primitivi, è i nostri sistemi rilevanu cun successu stu malware.
U modulu principale hè caricatu usendu Franchy ShellCode diverse versioni. Tuttavia, ùn escludemu micca chì altre opzioni puderianu esse aduprate, per esempiu, RunPE.
File di cunfigurazione
Consolidazione in u sistema
A cunsolidazione in u sistema hè assicurata da u bootloader AtProtect, se a bandiera currispondente hè stabilita.
- U schedariu hè copiatu longu u percorsu %AppData%GFqaakZpzwm.exe.
- U schedariu hè creatu %AppData%GFqaakWinDriv.url, lanciazione Zpzwm.exe.
- In u filu HKCUSoftwareMicrosoftWindowsCurrentVersionRun una chjave di startup hè creata WinDriv.url.
Interazzione cù C&C
Loader AtProtect
Se a bandiera apprupriata hè presente, u malware pò lancià un prucessu oculatu esploratore è seguitate u ligame specificatu per avvisà u servitore nantu à l'infezzione successu.
DataStealer
Indipendentemente da u metudu utilizatu, a cumunicazione di a rete principia cù l'ottenimentu di l'IP esterna di a vittima utilizendu a risorsa [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (compatibile; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
A struttura generale di u missaghju hè a stessa. Header presente
|——- 404 Keylogger — {Tipu} ——-|induve {tipu} currisponde à u tipu d'infurmazione trasmessa.
Eccu l'infurmazioni nantu à u sistema:
_______ + INFORMAZIONI SULLA VITIMA + _______
IP: {IP Esternu}
Nome di u pruprietariu: {Nome di l'urdinatore}
Nome OS: {Nome OS}
Versione OS: {Versione OS}
Piattaforma OS: {Plataforma}
Dimensione RAM: {taglia RAM}
______________________________
È infine, i dati trasmessi.
SMTP
U sughjettu di a lettera hè cusì: 404 K | {Tipu di messagiu} | Nome di u Cliente: {Username}.
Curiosamente, per mandà lettere à u cliente 404 Keylogger U servitore SMTP di i sviluppatori hè utilizatu.
Questu hà permessu di identificà certi clienti, è ancu l'email di unu di i sviluppatori.
FTP
Quandu aduprate stu metudu, l'infurmazioni raccolte sò salvate in un schedariu è leghje immediatamente da quì.
A logica daretu à sta azzione ùn hè micca sanu chjara, ma crea un artefattu supplementu per scrive regule di cumportamentu.
%HOMEDRIVE%%HOMEPATH%DocumentiA{Numeru arbitrariu}.txt
Pastebin
À u mumentu di l'analisi, stu metudu hè solu utilizatu per trasfiriri password arrubati. Inoltre, ùn hè micca usatu cum'è una alternativa à i primi dui, ma in parallelu. A cundizione hè u valore di a constante uguali à "Vavaa". Probabilmente questu hè u nome di u cliente.
L'interazzione si faci via u protocolu https via l'API pastebin. Sensu api_paste_private ugguali PASTE_UNLISTED, chì pruibisce a ricerca di tali pagine in pastebin.
Algoritmi di criptografia
Ritruvà un schedariu da risorse
U payload hè almacenatu in risorse di bootloader AtProtect in forma di immagini Bitmap. L'estrazione hè fatta in parechje tappe:
- Una matrice di bytes hè estratta da l'imaghjini. Ogni pixel hè trattatu cum'è una sequenza di 3 bytes in ordine BGR. Dopu l'estrazione, i primi 4 bytes di l'array guardanu a durata di u missaghju, i successivi guardanu u missaghju stessu.
- A chjave hè calculata. Per fà questu, MD5 hè calculatu da u valore "ZpzwmjMJyfTNiRalKVrcSkxCN" specificatu cum'è password. L'hash resultante hè scrittu duie volte.
- A decifrazione hè realizata cù l'algoritmu AES in modu ECB.
Funzionalità maliciosa
ACCIACCAVA
Implementatu in u bootloader AtProtect.
- Cuntattendu [activelink-repalce] U statutu di u servitore hè dumandatu per cunfirmà chì hè prontu à serve u schedariu. U servitore deve vultà "ON".
- Per ligame [downloadlink-replace] u payload hè telecaricatu.
- Cù l'aiutu di FranchyShellcode u payload hè injected in u prucessu [inj-replace].
Durante l'analisi di u duminiu 404 prughjetti[.]xyz istanze supplementari sò state identificate nantu à VirusTotal 404 Keylogger, è ancu parechji tippi di caricatori.
Convenzionalmente, sò spartuti in dui tipi:
- U scaricamentu hè realizatu da a risorsa 404 prughjetti[.]xyz.
I dati sò codificati in Base64 è criptati AES. - Questa opzione hè custituita da parechje tappe è hè più prubabilmente utilizata in cunghjunzione cù un bootloader AtProtect.
- In u primu stadiu, i dati sò caricati da pastebin è decodificata cù a funzione HexToByte.
- À a seconda tappa, a surgente di carica hè u 404 prughjetti[.]xyz. Tuttavia, e funzioni di decompressione è di decodificazione sò simili à quelli truvati in DataStealer. Hè prubabilmente previstu di implementà a funziunalità di bootloader in u modulu principale.
- In questu stadiu, u payload hè digià in u manifestu di risorsa in una forma compressa. Funzioni d'estrazione simili sò state truvate ancu in u modulu principale.
I scaricatori sò stati truvati trà i schedarii analizati njRat, SpyGate è altri RAT.
Keylogger
Periudu di mandatu di log: 30 minuti.
Tutti i caratteri sò supportati. I caratteri speciali sò scappati. Ci hè trasfurmazioni per i chjavi BackSpace è Delete. Case sensitive.
clipboardlogger
Periudu di mandatu di log: 30 minuti.
Periudu di polling buffer: 0,1 seconde.
Fuga di ligame implementatu.
ScreenLogger
Periudu di mandatu di log: 60 minuti.
I screenshots sò salvati in %HOMEDRIVE%%HOMEPATH%Documenti404k404pic.png.
Dopu à mandà u cartulare 404k hè sguassatu.
Password Stealer
| Браузеры | Clienti di email | Clienti FTP |
|---|---|---|
| Chrome | orticultura | FileZilla |
| brumann | Thunderbird | |
| MareMonkey | mail di volpe | |
| drago di ghiaccio | ||
| PaleLuna | ||
| cyberfox | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Browser | ||
| ComodoDragon | ||
| 360 Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| cromu | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| CocCoc | ||
| Torch | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Opposizione à l'analisi dinamica
- Verificate se un prucessu hè in analisi
Eseguitu cù u prucessu di ricerca taskmgr, ProcessHacker, prucessu64, prucessu, prumuzione. Se almenu unu hè truvatu, u malware esce.
- Verificate se site in un ambiente virtuale
Eseguitu cù u prucessu di ricerca vmtoolsd, VGAuthService, vmachlp, VBoxService, VBoxTray. Se almenu unu hè truvatu, u malware esce.
- Adurmintà per 5 seconde
- Dimustrazione di diversi tipi di scatuli di dialogu
Pò esse usatu per aggirari certi sandbox.
- Bypassa UAC
Eseguitu editendu a chjave di u registru EnableLUA in i paràmetri di a pulitica di u gruppu.
- Applica l'attributu "Hidden" à u schedariu attuale.
- Capacità di sguassà u schedariu attuale.
Funzioni inattive
Duranti l'analisi di u bootloader è u modulu principale, sò stati trovati funzioni chì eranu rispunsevuli di funziunalità supplementari, ma ùn sò micca usati in ogni locu. Questu hè probabilmente duvuta à u fattu chì u malware hè sempre in sviluppu è a funziunalità serà allargata prestu.
Loader AtProtect
Una funzione hè stata trovata chì hè rispunsevuli di carica è injecting in u prucessu msiexec.exe modulu arbitrariu.
DataStealer
- Consolidazione in u sistema
- Funzioni di decompressione è decifrazione
Hè prubabile chì a criptografia di dati durante a cumunicazione di a rete sarà prestu implementata. - Termina i prucessi antivirus
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavu | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Rav7 | guia |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| keyscrambler | F-Stopw | patru | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Scansà 32 | ccsetmgr |
| Acwin32 | Ibmasn | Scansà 95 | ccevtmgr |
| Avanzate | Ibmavsp | Scanpm | avadmin |
| Anti-troia | Icload95 | Scrscan | avcenter |
| ANTIVIR | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | Einaudi | avguardu |
| ATRACK | Icsupp95 | SMCSERVICE | avvisà |
| Autodown | Icsuppnt | Snort | avscan |
| Avconsol | faccia | Sphinx | guardgui |
| Ave 32 | Iomon98 | Spazzà95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown2000 | Tbscan | clamscan |
| Avnt | Feghja | Tca | clamtray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TerminNET | oladdin |
| Avpdos32 | MPftray | Vet95 | strumentu sig |
| Avpm | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Wclose |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Negru | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | zona alarme | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN 2000 | avcmd |
| Cfiaudit | Nisum | RESCUE32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normistu | avgcc | sched |
| Claw95 | NORTON | avgcc | preupd |
| Claw95cf | Nupgrade | avgamsvr | MsMpEng |
| Cleaner | Nvc95 | avgupsvc | MSASCui |
| Cleaner 3 | Avanzate | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- Autodistruzzione
- Carica dati da u manifestu di risorsa specificatu
- Copià un schedariu nantu à una strada %Temp%tmpG[Data è ora attuale in millisecondi].tmp
Curiosamente, una funzione identica hè presente in AgentTesla malware. - Funzionalità di vermi
U malware riceve una lista di media removable. Una copia di u malware hè creatu in a radica di u sistema di schedarii media cù u nome Sys.exe. L'Autorun hè implementatu cù un schedariu autorun.inf.
Profil d'attaccante
Durante l'analisi di u centru di cummandu, era pussibule stabilisce l'email è u soprannomu di u sviluppatore - Razer, alias Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Dopu, avemu trovu un video interessante in YouTube chì mostra u travagliu cù u custruttore.
Questu hà permessu di truvà u canali di sviluppatore originale.
Hè diventatu chjaru chì hà avutu una sperienza in scrittura di criptografia. Ci sò ancu ligami per e pagine nantu à e rete soziale, è ancu u veru nome di l'autore. Hè diventatu un residente di l'Iraq.
Questu hè ciò chì un sviluppatore di Keylogger 404 suppostamente pare. Foto da u so prufilu persunale di Facebook.
CERT Group-IB hà annunziatu una nova minaccia - 404 Keylogger - un centru di monitoraghju è risposta XNUMX ore per ciberminacce (SOC) in Bahrain.
Source: www.habr.com