Yn 'e ôfrûne jierren binne mobile Trojans aktyf ferfangen fan Trojans foar persoanlike kompjûters, sadat it ûntstean fan nije malware foar de goede âlde "auto's" en har aktyf gebrûk troch cyberkriminelen, hoewol ûngeunstich, noch altyd in evenemint is. Koartlyn ûntdekte CERT Group-IB's XNUMX/XNUMX antwurdsintrum foar ynsidint foar ynformaasjefeiligens in ûngewoane phishing-e-post dy't in nije PC-malware ferburgen dy't de funksjes fan Keylogger en PasswordStealer kombineart. De oandacht fan analysten waard lutsen op hoe't de spyware op 'e masine fan 'e brûker kaam - mei in populêre stimmessenger. Ilya Pomerantsev, in malware-analyze-spesjalist by CERT Group-IB, ferklearre hoe't de malware wurket, wêrom't it gefaarlik is, en fûn sels syn skepper yn it fiere Irak.
Dus, litte wy yn oarder gean. Under it mom fan in taheaksel befette sa'n brief in foto, by it klikken wêrop de brûker nei de side brocht waard cdn.discordapp.com, en in kwea-aardich bestân waard dêrwei ynladen.
It brûken fan Discord, in fergese stim- en tekstmessenger, is frij ûnkonvinsjoneel. Typysk wurde oare instant messengers as sosjale netwurken brûkt foar dizze doelen.
Tidens in mear detaillearre analyze waard in famylje fan malware identifisearre. It die bliken in nijkommer te wêzen op 'e malwaremerk - 404 Keylogger.
De earste advertinsje foar de ferkeap fan in keylogger waard pleatst op hackforums troch brûker ûnder de bynamme "404 Coder" op 8 augustus.
It winkeldomein waard frij koartlyn registrearre - op 7 septimber 2019.
As de ûntwikkelders sizze op 'e webside 404projekten[.]xyz, 404 is in ark ûntworpen om bedriuwen te helpen te learen oer de aktiviteiten fan har klanten (mei har tastimming) of foar dyjingen dy't har binêr beskermje wolle tsjin reverse engineering. Foarút sjen litte wy dat sizze mei de lêste taak 404 perfoarst net oan.
Wy besletten om ien fan 'e bestannen werom te kearen en te kontrolearjen wat "BEST SMART KEYLOGGER" is.
Malware ekosysteem
Loader 1 (AtillaCrypter)
De boarne triem is beskerme mei help EaxObfuscator en fiert twa-stap laden AtProtect út de boarne seksje. Tidens de analyze fan oare samples fûn op VirusTotal, waard dúdlik dat dit poadium net troch de ûntwikkelder sels levere waard, mar troch syn kliïnt tafoege. It waard letter bepaald dat dizze bootloader AtillaCrypter wie.
Bootloader 2 (AtProtect)
Yn feite is dizze loader in yntegraal ûnderdiel fan 'e malware en, neffens de bedoeling fan' e ûntwikkelder, moat de funksjonaliteit fan it tsjingean fan analyse oernimme.
Yn 'e praktyk binne de beskermingsmeganismen lykwols ekstreem primityf, en ús systemen detektearje dizze malware mei súkses.
De wichtichste module wurdt laden mei help Franchy ShellCode ferskillende ferzjes. Wy slúte lykwols net út dat oare opsjes brûkt wurde kinne, bygelyks, RunPE.
Konfiguraasjetriem
Konsolidaasje yn it systeem
Konsolidaasje yn it systeem wurdt garandearre troch de bootloader AtProtect, as de korrespondearjende flagge is ynsteld.
- De triem wurdt kopiearre lâns it paad %AppData%GFqaakZpzwm.exe.
- De triem wurdt oanmakke %AppData%GFqaakWinDriv.url, lansearring Zpzwm.exe.
- Yn de tried HKCUSoftwareMicrosoftWindowsCurrentVersionRun in opstartkaai wurdt oanmakke WinDriv.url.
Ynteraksje mei C&C
Loader AtProtect
As de passende flagge oanwêzich is, kin de malware in ferburgen proses starte iexplorer en folgje de opjûne keppeling om de tsjinner te warskôgjen oer suksesfolle ynfeksje.
DataStealer
Nettsjinsteande de brûkte metoade begjint netwurkkommunikaasje mei it krijen fan it eksterne IP fan it slachtoffer mei de boarne [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
De algemiene struktuer fan it berjocht is itselde. Header oanwêzich
|——- 404 Keylogger — {Type} ——-|wêr {type} komt oerien mei it type ynformaasje dat wurdt oerdroegen.
It folgjende is ynformaasje oer it systeem:
_______ + SLACHTOFFERINFO + _______
IP: {Eksterne IP}
Namme eigner: {Computer namme}
OS Namme: {OS Namme}
OS Ferzje: {OS Ferzje}
OS Platfoarm: {Platfoarm}
RAM Grutte: {RAM grutte}
______________________________
En as lêste, de oerdroegen gegevens.
SMTP
It ûnderwerp fan 'e brief is as folget: 404 K | {Berjochttype} | Klantnamme: {Username}.
Nijsgjirrich, om brieven oan 'e klant te leverjen 404 Keylogger De SMTP-tsjinner fan 'e ûntwikkelders wurdt brûkt.
Dit makke it mooglik om guon kliïnten te identifisearjen, lykas de e-post fan ien fan 'e ûntwikkelders.
FTP
By it brûken fan dizze metoade wurdt de sammele ynformaasje opslein yn in bestân en dêr fuortdaliks lêzen.
De logika efter dizze aksje is net hielendal dúdlik, mar it skept in ekstra artefakt foar it skriuwen fan gedrachsregels.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Arbitrêr nûmer}.txt
Pastebin
Op it momint fan analyze wurdt dizze metoade allinich brûkt om stellen wachtwurden oer te dragen. Boppedat wurdt it net brûkt as alternatyf foar de earste twa, mar parallel. De betingst is de wearde fan 'e konstante gelyk oan "Vavaa". Nei alle gedachten is dit de namme fan de klant.
Ynteraksje komt foar fia it https-protokol fia de API pastebin. Betsjutting api_paste_private lykweardich PASTE_UNLISTED, dy't it sykjen nei sokke siden ferbiedt yn pastebin.
Fersiferingsalgoritmen
It opheljen fan in triem út boarnen
De lading wurdt opslein yn bootloader-boarnen AtProtect yn 'e foarm fan Bitmap-ôfbyldings. Ekstraksje wurdt útfierd yn ferskate stadia:
- In array fan bytes wurdt ekstrahearre út 'e ôfbylding. Elke piksel wurdt behannele as in folchoarder fan 3 bytes yn BGR folchoarder. Nei ekstraksje bewarje de earste 4 bytes fan 'e array de lingte fan it berjocht, de folgjende bewarje it berjocht sels.
- De kaai wurdt berekkene. Om dit te dwaan, wurdt MD5 berekkene út de wearde "ZpzwmjMJyfTNiRalKVrcSkxCN" oantsjutte as it wachtwurd. De resultearjende hash wurdt twa kear skreaun.
- Dekodearring wurdt útfierd mei it AES-algoritme yn ECB-modus.
Malicious funksjonaliteit
Downloader
Implementearre yn 'e bootloader AtProtect.
- Troch kontakt te meitsjen [activelink-repalce] De status fan de tsjinner wurdt frege om te befêstigjen dat it klear is om it bestân te tsjinjen. De tsjinner moat weromkomme "OP".
- Link [downloadlink-replace] De lading wurdt ynladen.
- Mei help fan FranchyShellcode de lading wurdt yn it proses ynjeksje [inj-ferfange].
Tidens domein analyze 404projekten[.]xyz ekstra eksimplaren waarden identifisearre op VirusTotal 404 Keylogger, lykas ferskate soarten loaders.
Konvinsjoneel binne se ferdield yn twa soarten:
- It ynladen wurdt útfierd fanút de boarne 404projekten[.]xyz.
Gegevens binne Base64 kodearre en AES fersifere. - Dizze opsje bestiet út ferskate stadia en wurdt nei alle gedachten brûkt yn kombinaasje mei in bootloader AtProtect.
- Yn 'e earste faze wurde gegevens laden fan pastebin en dekodearre mei help fan de funksje HexToByte.
- By de twadde etappe, de boarne fan laden is de 404projekten[.]xyz. De dekompresje- en dekodearringsfunksjes binne lykwols fergelykber mei dy fûn yn DataStealer. It wie wierskynlik oarspronklik pland om de bootloader-funksjonaliteit yn 'e haadmodule te ymplementearjen.
- Op dit stadium is de loadload al yn 'e boarne manifest yn in komprimearre foarm. Fergelykbere ekstraksjefunksjes waarden ek fûn yn 'e haadmodule.
Under de analysearre bestannen waarden downloaders fûn njRat, SpyGate en oare RATs.
Keylogger
Log ferstjoeringsperioade: 30 minuten.
Alle karakters wurde stipe. Spesjale karakters binne ûntkommen. D'r is ferwurking foar de BackSpace- en Delete-toetsen. Haadlettergefoelich.
ClipboardLogger
Log ferstjoeringsperioade: 30 minuten.
Buffer polling perioade: 0,1 sekonden.
Implementearre link ûntsnapping.
ScreenLogger
Log ferstjoeringsperioade: 60 minuten.
Skermôfbyldings wurde bewarre yn %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Nei it ferstjoeren fan de map 404k wurdt fuorthelle.
PasswordStealer
| Браузеры | Mail kliïnten | FTP kliïnten |
|---|---|---|
| chrome | Outlook | filezilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| icedragon | ||
| PaleMoon | ||
| cyberfox | ||
| chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Blêder | ||
| ComodoDragon | ||
| 360 Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Chromium | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| CocCoc | ||
| Fakkel | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Tsjingean fan dynamyske analyze
- Kontrolearje oft in proses ûnder analyze is
Utfierd mei prosessykjen taakmgr, ProcessHacker, prosesexp64, procexp, procmon. As op syn minst ien wurdt fûn, giet de malware út.
- Kontrolearje as jo yn in firtuele omjouwing binne
Utfierd mei prosessykjen vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. As op syn minst ien wurdt fûn, giet de malware út.
- Yn sliep falle foar 5 sekonden
- Demonstraasje fan ferskate soarten dialoochfinsters
Kin brûkt wurde om guon sânbakken te omgean.
- Bypass UAC
Utfierd troch it bewurkjen fan de registerkaai EnableLUA yn Group Policy ynstellings.
- Tapasse it attribút "Hidden" op it aktuele bestân.
- Mooglikheid om de aktuele triem te wiskjen.
Ynaktive funksjes
Tidens de analyze fan 'e bootloader en de haadmodule waarden funksjes fûn dy't ferantwurdlik wiene foar ekstra funksjonaliteit, mar se wurde oeral net brûkt. Dit is wierskynlik te tankjen oan it feit dat de malware noch yn ûntwikkeling is en de funksjonaliteit sil gau útwreide wurde.
Loader AtProtect
In funksje waard fûn dy't ferantwurdlik is foar it laden en ynjeksje yn it proses msiexec.exe willekeurige module.
DataStealer
- Konsolidaasje yn it systeem
- Dekompresje- en dekodearringsfunksjes
It is wierskynlik dat gegevensfersifering by netwurkkommunikaasje ynkoarten ymplementearre wurde. - Beëiniging fan antivirusprosessen
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| ANUBIS | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Rav7 | Norton |
| mbam | Frw | Rav7 win | Norton Auto-Protect |
| keyscrambler | F-Stop | Rêde | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Scan 32 | ccsetmgr |
| Akwin32 | Ibmasn | Scan 95 | ccevtmgr |
| Bûtenpost | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Scrscan | avcenter |
| ANTIVIR | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | smc | avguard |
| IN SPOAR | Icsupp95 | SMCSERVICE | avnotify |
| Autodown | Icsuppnt | Snort | avscan |
| Avconsol | Iface | sphinx | guardgui |
| Ave 32 | Iomon98 | sweep 95 | noat 32 kr |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown 2000 | Tbscan | clamscan |
| Avn | Sjoch út | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | MPftray | Vet 95 | sigtool |
| Avpm | N32 scanw | Vettray | w9x iepen |
| Avptc32 | NAVAPSVC | Vscan40 | Slute |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Swart iis | NeoWatch | sônealarm | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | Nisum | REDDING32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | skema |
| Klauw95 | NORTON | avgcc | preupd |
| klup95cf | Nupgrade | avgamsvr | MsMpEng |
| Cleaner | Nvc95 | avgupsvc | MSASCui |
| Reiniger 3 | Bûtenpost | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| dvp95 | Pavcl | avgserv |
- Selsdestruksje
- Laden fan gegevens út de oantsjutte boarne manifest
- It kopiearjen fan in bestân lâns in paad %Temp%tmpG[Aktuele datum en tiid yn millisekonden].tmp
Ynteressant is in identike funksje oanwêzich yn AgentTesla malware. - Worm funksjonaliteit
De malware ûntfangt in list mei útnimbere media. In kopy fan 'e malware wurdt makke yn' e root fan it mediabestânsysteem mei de namme Sys.exe. Autorun wurdt ymplementearre mei in bestân autorun.inf.
Oanfaller profyl
Tidens de analyze fan it kommandosintrum wie it mooglik om de e-post en bynamme fan 'e ûntwikkelder te fêstigjen - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Folgjende fûnen wy in nijsgjirrige fideo op YouTube dy't it wurkjen mei de bouwer demonstreart.
Dit makke it mooglik om it orizjinele ûntwikkelkanaal te finen.
It waard dúdlik dat hy ûnderfining hie yn it skriuwen fan kryptografen. D'r binne ek keppelings nei siden op sosjale netwurken, lykas de echte namme fan 'e skriuwer. Hy die bliken in ynwenner fan Irak te wêzen.
Dit is hoe't in 404 Keylogger-ûntwikkelder sabeare liket. Foto fan syn persoanlike Facebook profyl.
CERT Group-IB hat in nije bedriging oankundige - 404 Keylogger - in XNUMX-oere tafersjoch- en antwurdsintrum foar cyberbedrigingen (SOC) yn Bahrein.
Boarne: www.habr.com