Le blianta beaga anuas, tá Trojans soghluaiste ag athsholáthar na Trojans do ríomhairí pearsanta go gníomhach, agus mar sin tá teacht chun cinn malware nua do na “gluaisteáin” mhaithe agus a n-úsáid ghníomhach ag cibearchoireachta, cé nach bhfuil siad taitneamhach, fós ina eachtra. Le déanaí, d'aimsigh ionad freagartha teagmhais slándála faisnéise XNUMX/XNUMX CERT Group-IB r-phost fioscaireachta neamhghnách a bhí i bhfolach malware PC nua a chomhcheanglaíonn feidhmeanna Keylogger agus PasswordStealer. Díríodh aird na n-anailísithe ar conas a chuaigh na hearraí spiaireachta isteach ar mheaisín an úsáideora - ag baint úsáide as teachtaire gutha coitianta. Ilya Pomerantsev, speisialtóir anailíse malware ag CERT Group-IB, mhínigh conas a oibríonn an malware, cén fáth go bhfuil sé contúirteach, agus fiú fuair sé a cruthaitheoir san Iaráic i bhfad i gcéin.
Mar sin, a ligean ar dul in ord. Faoi chruth iatán, bhí pictiúr i litir den sórt sin, nuair a chliceáil air ar tugadh an t-úsáideoir chuig an suíomh cdn.discordapp.com, agus íoslódáladh comhad mailíseach as sin.
Tá sé neamhghnách go leor úsáid a bhaint as Discord, teachtaire gutha agus téacs saor in aisce. Go hiondúil, úsáidtear teachtairí meandracha eile nó líonraí sóisialta chun na gcríoch sin.
Le linn anailís níos mionsonraithe, aithníodh teaghlach malware. Iompaigh sé amach a bheith ina núíosach chuig an margadh malware - 404 Keylogger.
Cuireadh an chéad fhógra chun eochair-logger a dhíol ar fóraim hack ag úsáideoir faoin leasainm “404 Coder” ar 8 Lúnasa.
Cláraíodh an fearann siopa le déanaí - an 7 Meán Fómhair, 2019.
Mar a deir na forbróirí ar an láithreán gréasáin 404 tionscadal[.]xyz, 404 Is uirlis é atá deartha chun cabhrú le cuideachtaí foghlaim faoi ghníomhaíochtaí a gcustaiméirí (lena gcead) nó dóibh siúd ar mian leo a ndénártha a chosaint ó innealtóireacht droim ar ais. Ag féachaint amach romhainn, déanaimis é sin a rá leis an tasc deireanach 404 cinnte nach bhfuil i ngleic.
Shocraigh muid ceann de na comhaid a aisiompú agus seiceáil cad is “BEST SMART KEYLOGGER” ann.
Éiceachóras malware
Luchtóir 1 (AtillaCrypter)
Tá an comhad foinse cosanta ag baint úsáide as EaxObfuscator agus déanann sé luchtú dhá chéim AtProtect ón rannóg acmhainní. Le linn na hanailíse ar shamplaí eile a fuarthas ar VirusTotal, ba léir nár sholáthair an forbróir féin an chéim seo, ach gur chuir a chliant leis. Cinneadh níos déanaí gurbh é AtillaCrypter an tosaitheoir seo.
Bootloader 2 (AtProtect)
Go deimhin, is cuid dhílis den malware é an lódóir seo agus, de réir intinn an fhorbróra, ba cheart go nglacfadh sé leis an fheidhmiúlacht chun anailís a chomhrac.
Mar sin féin, go praiticiúil, tá na meicníochtaí cosanta thar a bheith primitive, agus d'éirigh lenár gcórais an malware seo a bhrath.
Tá an príomh-mhodúl luchtaithe ag baint úsáide as Cód Franchy Shell leaganacha éagsúla. Mar sin féin, ní chuirimid as an áireamh go bhféadfaí roghanna eile a úsáid, mar shampla, Rith PE.
Comhad cumraíochta
Comhdhlúthú sa chóras
Cinntíonn an tosaitheoir comhdhlúthú sa chóras AtProtect, má tá an bratach comhfhreagrach socraithe.
- Déantar an comhad a chóipeáil feadh an chosáin %AppData%GFqaakZpzwm.exe.
- Cruthaítear an comhad %AppData%GFqaakWinDriv.url, ag seoladh Zpzwm.exe.
- Sa snáithe HKCUSoftwareMicrosoftWindowsCurrentVersionRun cruthaítear eochair tosaithe WinDriv.url.
Idirghníomhú le C&C
Loader AtProtect
Má tá an bhratach cuí i láthair, is féidir leis an malware próiseas i bhfolach a sheoladh taiscéalaí agus lean an nasc sonraithe chun an freastalaí a chur ar an eolas faoi ionfhabhtú rathúil.
SonraíStealer
Beag beann ar an modh a úsáidtear, tosaíonn cumarsáid líonra le IP seachtrach an íospartaigh a fháil ag baint úsáide as an acmhainn [http]://checkip[.]dyndns[.]org/.
Úsáideora-Gníomhaire: Mozilla/4.0 (comhoiriúnach; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Tá struchtúr ginearálta na teachtaireachta mar an gcéanna. Ceanntásc i láthair
|——- 404 Keylogger — {Cineál} ——-|I gcás ina {cineál} fhreagraíonn don chineál faisnéise atá á tarchur.
Seo a leanas faisnéis faoin gcóras:
_______ + EOLAS ÍOSPARTACH + _______
IP: {IP sheachtrach}
Ainm an Úinéara: {Ainm an ríomhaire}
Ainm OS: {Ainm OS}
Leagan OS: {OS Version}
Ardán OS: {Ardán}
Méid RAM: {méid RAM}
______________________________
Agus ar deireadh, na sonraí a tharchuirtear.
SMTP
Seo a leanas ábhar na litreach: 404 K | {Cineál na Teachtaireachta} | Ainm an Chliaint: {Ainm Úsáideora}.
Suimiúil go leor, chun litreacha a sheachadadh chuig an gcliant 404 Keylogger Úsáidtear freastalaí SMTP na bhforbróirí.
Mar gheall air seo bhí sé indéanta roinnt cliant a aithint, chomh maith le ríomhphost ó cheann de na forbróirí.
FTP
Agus an modh seo á úsáid, déantar an fhaisnéis a bhailítear a shábháil i gcomhad agus a léamh láithreach as sin.
Níl an loighic taobh thiar den ghníomhaíocht seo iomlán soiléir, ach cruthaíonn sé déantán breise chun rialacha iompraíochta a scríobh.
%HOMEDRIVE%%HOMEPATH%DoiciméidA{Uimhir threallach}.txt
Pastebin
Ag tráth na hanailíse, ní úsáidtear an modh seo ach amháin chun pasfhocail goidte a aistriú. Thairis sin, úsáidtear é ní mar mhalairt ar an gcéad dá, ach go comhthreomhar. Is é an coinníoll luach an tairiseach cothrom le “Vavaa”. Is dócha gurb é seo ainm an chliaint.
Tarlaíonn idirghníomhaíocht tríd an bprótacal https tríd an API pastebin. Brí api_paste_príobháideach ionann PASTE_UNLISTED, a chuireann cosc ar leathanaigh den sórt sin a chuardach i pastebin.
Algartaim criptithe
Comhad a aisghabháil ó acmhainní
Stóráiltear an pálasta in acmhainní bootloader AtProtect i bhfoirm íomhánna Bitmap. Déantar eastóscadh i roinnt céimeanna:
- Baintear sraith beart as an íomhá. Déileáiltear le gach picteilín mar sheicheamh 3 beart in ord BGR. Tar éis eastóscadh, stórálann na chéad 4 beart den eagar fad na teachtaireachta, agus déanann na cinn ina dhiaidh sin an teachtaireacht féin a stóráil.
- Ríomhtar an eochair. Chun seo a dhéanamh, ríomhtar MD5 ón luach “ZpzwmjMJyfTNiRalKVrcSkxCN” atá sonraithe mar an focal faire. Scríobhtar an hash mar thoradh air faoi dhó.
- Déantar an díchriptiú ag baint úsáide as an algartam AES i mód an ECB.
Feidhmiúlacht mailíseach
Downloader
Curtha i bhfeidhm sa bootloader AtProtect.
- Trí theagmháil a dhéanamh [activelink-repalce] Iarrtar stádas an fhreastalaí chun a dheimhniú go bhfuil sé réidh chun an comhad a sheirbheáil. Ba cheart don fhreastalaí filleadh “AR”.
- Faoi threoir [downloadlink-ionad] Tá an t-ualach pá íosluchtaithe.
- Le Cód FranchyShell cuirtear an pálasta isteach sa phróiseas [inj-ionad].
Le linn anailíse fearainn 404 tionscadal[.]xyz aithníodh cásanna breise ar VirusTotal 404 Keylogger, chomh maith le roinnt cineálacha lódairí.
Go traidisiúnta, tá siad roinnte ina dhá chineál:
- Déantar an íoslódáil ón acmhainn 404 tionscadal[.]xyz.
Tá sonraí Base64 ionchódaithe agus AES criptithe. - Tá roinnt céimeanna sa rogha seo agus is dóichí go n-úsáidtear é i gcomhar le tosaitheoir AtProtect.
- Sa chéad chéim, tá sonraí luchtaithe ó pastebin agus díchódaithe ag baint úsáide as an bhfeidhm HeicstoBite.
- Ag an dara céim, is é an fhoinse luchtaithe an 404 tionscadal[.]xyz. Mar sin féin, tá na feidhmeanna dí-chomhbhrú agus díchódaithe cosúil leis na cinn a fhaightear in DataStealer. Is dócha go raibh sé beartaithe ar dtús feidhmiúlacht an bootloader a chur i bhfeidhm sa phríomh-mhodúl.
- Ag an gcéim seo, tá an pálasta cheana féin san acmhainn i bhfoirm chomhbhrúite. Fuarthas feidhmeanna eastósctha comhchosúla sa phríomh-mhodúl freisin.
Fuarthas íoslódálaithe i measc na gcomhad a ndearnadh anailís orthu njRat, SpyGate agus RATanna eile.
Keylogger
Tréimhse seolta an loga: 30 nóiméad.
Tacaítear le gach carachtar. Éalaítear carachtair speisialta. Tá próiseáil ann do na heochracha BackSpace agus Scrios. Cás íogair.
Logálaí Gearrthaisce
Tréimhse seolta an loga: 30 nóiméad.
Tréimhse vótaíochta maoláin: 0,1 soicind.
Nasc curtha i bhfeidhm ag éalú.
Logálaí Scáileáin
Tréimhse seolta an loga: 60 nóiméad.
Sábháiltear screenshots i %HOMEDRIVE%%HOMEPATH%Doiciméid404k404pic.png.
Tar éis an fillteán a sheoladh 404k scriostar.
PasswordStealer
Brabhsálaithe | Cliaint ríomhphoist | Cliaint FTP |
---|---|---|
Chrome | Outlook | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
Dragúin Oighear | ||
PaleMoon | ||
cibearfox | ||
Chrome | ||
Brabhsálaí Brave | ||
QQBrowser | ||
Brabhsálaí Iridium | ||
XvastBrabhsálaí | ||
Chedot | ||
360Brabhsálaí | ||
ComodoDragon | ||
360 Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
Brabhsálaí Iarainn | ||
Cróimiam | ||
Vivaldi | ||
Brabhsálaí slimjet | ||
orbitum | ||
CocCoc | ||
Tóirse | ||
UCB bhrabhsálaí | ||
Brabhsálaí Epic | ||
BliskBrowser | ||
oibriú |
Frithghníomh in aghaidh anailíse dinimiciúil
- Seiceáil an bhfuil próiseas faoi anailís
Arna dhéanamh ag baint úsáide as cuardach próisis taskmgr, Próiseas Hacker, réamhbheart64, procexp, procmon. Má aimsítear ceann amháin ar a laghad, scoireann an malware.
- Ag seiceáil an bhfuil tú i dtimpeallacht fhíorúil
Arna dhéanamh ag baint úsáide as cuardach próisis vm uirlisí, VGAuthService, vmacthlp, VBoxService, VBoxTray. Má aimsítear ceann amháin ar a laghad, scoireann an malware.
- Ag titim ina chodladh ar feadh 5 soicind
- Cineálacha éagsúla boscaí dialóige a léiriú
Is féidir é a úsáid chun roinnt boscaí gainimh a sheachbhóthar.
- Seachbhóthar UAC
Léirithe ag eagarthóireacht ar an eochair registry EnableLUA i socruithe Beartais Grúpa.
- Cuirtear an tréith "I bhfolach" leis an gcomhad reatha.
- Cumas an comhad reatha a scriosadh.
Gnéithe Neamhghníomhacha
Le linn na hanailíse ar an bootloader agus ar an bpríomh-mhodúl, fuarthas feidhmeanna a bhí freagrach as feidhmiúlacht bhreise, ach ní úsáidtear iad in áit ar bith. Is dócha go bhfuil sé seo mar gheall ar an bhfíric go bhfuil an malware fós i bhforbairt agus leathnófar an fheidhmiúlacht go luath.
Loader AtProtect
Fuarthas feidhm atá freagrach as luchtú agus instealladh isteach sa phróiseas msiexec.exe modúl treallach.
SonraíStealer
- Comhdhlúthú sa chóras
- Feidhmeanna dí-chomhbhrú agus díchriptithe
Is dócha go gcuirfear criptiú sonraí le linn cumarsáide líonra i bhfeidhm go luath. - Próisis antivirus a fhoirceannadh
zclient | Dvp95_0 | Pavsched | meánlíon9 |
egui | Ecengine | Pavw | meánlíon9schedapp |
bdagent | Slán | PCCIOMON | meánlíon |
npfmsg | Espwatch | PCCMAIN | fuinseoigev |
olydbg | F-Agnt95 | Pccwin98 | fuinseoige |
Anubis | Findvir | Pcfwallicon | ashmaisv |
wireshark | Fprot | Persfw | luaithrigh |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp- Win | Rabh7 | Norton |
mbam | frw | Rav7 bhuachan | Norton cosaint uathoibríoch |
eochairscrambler | F- Stop | Tarrthála | norton_av |
_Avpcc | Iamapp | Sábháilteweb | nortonav |
_Avpm | iamserv | Scan32 | ccsetmgr |
bua32 | Ibmasn | Scan95 | ccevtmgr |
Outpost | Ibmavsp | Scanpm | abhráin |
Frith-Trojan | Deilbhín 95 | Scrscan | seachrán |
ANTIVIR | Iclont | Seirbhís 95 | meánlíon |
Apvxdwin | íocón | SMC | avguard |
ATRACK | Icsupp95 | SMCSERVICE | fógra |
Autodown | Icsuppnt | Snort | avscan |
Avconsol | aghaidh | Sphinx | gardagui |
Ave32 | Iomán98 | Scuab95 | nod32 krn |
Meánlíon | Jedi | SYMPROXYSVC | nod32 |
Avkserv | Glasáil 2000 | Tbscan | clamscan |
Abht | lookout | Tca | clamTray |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | úrchlam |
Avpcc | Maolach | TermiNET | oladin |
Feidhm32 | MPftray | Tréidlia95 | uirlis sig |
Avpm | N32 scanadh | Vetray | w9xposcail |
Avptc32 | NAVAPSVC | Vscan40 | Dún |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
slán32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
bua 95 | NAVRUNR | Scanx Gréasáin | vshwin32 |
Focal 32 | Navw32 | WEBTRAP | avconsol |
Dubhd | Navwnt | Fionnv32 | vsstat |
Dubh | NeoWatch | Criosalarm | avsynmgr |
Cfiadmin | NISSERV | GLAITHE2000 | avcmd |
Cfiaudit | Nisum | Tarrtháil32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normannach | meánlíon | sceideal |
Claw95 | NORTON | meánlíon | preupd |
Claw95cf | Uasghrádú | meánlíon | MsMpEng |
Glantóir | Nvc95 | avgupsvc | MSASCui |
Glantóir3 | Outpost | meánlíon | Avira.Systray |
Defwatch | Padmin | meánlíon32 | |
Dvp95 | Pavcl | meánlíon |
- Féin-scrios
- Sonraí á lódáil ón léiriú acmhainne sonraithe
- Comhad a chóipeáil feadh cosáin % Temp% tmpG[Dáta agus am reatha sna milleasoicindí].tmp
Suimiúil go leor, tá feidhm chomhionann i malware AgentTesla. - Feidhmiúlacht worm
Faigheann an malware liosta de na meáin inbhainte. Cruthaítear cóip den malware i bhfréamh an chórais chomhaid meán leis an ainm Sys.exe. Cuirtear Autorun i bhfeidhm ag baint úsáide as comhad autorun.inf.
Próifíl ionsaitheoir
Le linn na hanailíse ar an ionad ordaithe, bhíothas in ann ríomhphost agus leasainm an fhorbróra a bhunú - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Ansin, fuaireamar físeán suimiúil ar YouTube a thaispeánann oibriú leis an tógálaí.
Bhíothas in ann an cainéal forbróra bunaidh a aimsiú dá bharr.
Ba léir go raibh taithí aige ar scríobh cripteagrafaíochta. Tá naisc le leathanaigh ar líonraí sóisialta ann freisin, chomh maith le fíorainm an údair. Iompaigh sé amach a bheith ina chónaí san Iaráic.
Is é seo an chuma atá ar fhorbróir 404 Keylogger supposedly. Grianghraf óna phróifíl Facebook phearsanta.
Tá bagairt nua fógartha ag CERT Group-IB - 404 Keylogger - ionad monatóireachta agus freagartha XNUMX uair an chloig do bhagairtí cibear (SOC) i mBairéin.
Foinse: will.com