N'ime afọ ndị na-adịbeghị anya, Trojans mobile na-arụsi ọrụ ike na-edochi Trojans maka kọmputa nkeonwe, ya mere, mmalite nke malware ọhụrụ maka ezigbo "ụgbọ ala" ochie na ojiji ha na-arụsi ọrụ ike site na cybercriminals, ọ bụ ezie na ọ dịghị mma, ka bụ ihe omume. N'oge na-adịbeghị anya, CERT Group-IB's 24/7 ozi nchekwa mmeghachi omume ndapụta achọpụtara email phishing pụrụ iche nke na-ezobe malware PC ọhụrụ na-ejikọta ọrụ nke Keylogger na PasswordStealer. A dọọrọ uche ndị nyocha na ka spyware si banye igwe onye ọrụ - na-eji ozi olu ama ama. Ilya Pomerantsev, Ọkachamara nyocha malware na CERT Group-IB, kọwara ka malware si arụ ọrụ, ihe kpatara o ji dị ize ndụ, na ọbụna chọta onye kere ya na Iraq dị anya.
Yabụ, ka anyị gaa n'usoro. N'okpuru mkpuchi nke mgbakwunye, akwụkwọ ozi dị otú ahụ nwere foto, mgbe ịpịchara onye ọrụ ahụ na saịtị ahụ. cdn.discordapp.com, na e si ebe ahụ budata faịlụ ọjọọ.
Iji Discord, olu efu na ozi ederede, bụ ihe na-adịghị mma. Dịka, a na-eji ndị ozi ozugbo ma ọ bụ netwọk mmekọrịta ndị ọzọ maka ebumnuche ndị a.
N'oge nyocha nke ọma, a chọpụtara ezinụlọ nke malware. Ọ tụgharịrị bụrụ onye bịara ọhụrụ n'ahịa malware - 404 Keylogger.
Ebisara mgbasa ozi mbụ maka ire keylogger hackforum site n'aka onye ọrụ n'okpuru aha otutu "404 Coder" na August 8.
Edebara aha ngalaba ụlọ ahịa ahụ n'oge na-adịbeghị anya - na Septemba 7, 2019.
Dị ka ndị mmepe kwuru na webụsaịtị 404project[.]xyz, 404 bụ ngwá ọrụ e mere iji nyere ụlọ ọrụ aka ịmụta banyere ọrụ ndị ahịa ha (site na ikike ha) ma ọ bụ maka ndị chọrọ ichebe ọnụọgụ abụọ ha site na injinia ntụgharị. N'ile anya n'ihu, ka anyị jiri ọrụ ikpeazụ kwuo nke ahụ 404 maa adịghị anabata.
Anyị kpebiri ịtụgharị otu faịlụ wee lelee ihe "BEST SMART KEYLOGGER" bụ.
gburugburu ebe obibi malware
Loader 1 (AtillaCrypter)
A na-echekwa faịlụ isi mmalite site na iji EaxObfuscator ma na-arụ ọrụ ntinye nzọụkwụ abụọ Chebe site na ngalaba akụrụngwa. N'oge nyocha nke ihe nlele ndị ọzọ achọtara na VirusTotal, ọ bịara doo anya na ọ bụghị onye nrụpụta n'onwe ya nyere ọkwa a, mana onye ahịa ya gbakwunyere ya. E mechara kpebie na bootloader a bụ AtillaCrypter.
Bootloader 2 (AtProtect)
N'ezie, onye na-ebu ihe a bụ akụkụ dị mkpa nke malware na, dịka ebumnuche onye nrụpụta si dị, kwesịrị ịmalite ọrụ nyocha nyocha.
Agbanyeghị, na omume, usoro nchebe bụ ihe ochie, yana sistemụ anyị na-achọpụta malware a nke ọma.
A na-ebunye modul isi site na iji Koodu Franchy Shell nsụgharị dị iche iche. Agbanyeghị, anyị anaghị ewepu na enwere ike iji nhọrọ ndị ọzọ, dịka ọmụmaatụ, RunPE.
faịlụ nhazi
Mwekota na usoro
A na-ahụta nchikota na sistemụ site na bootloader Chebe, ma ọ bụrụ na edobere ọkọlọtọ kwekọrọ.
- A na-eṅomi faịlụ n'akụkụ ụzọ ahụ %AppData%GFqaakZpzwm.exe.
- Emepụtara faịlụ ahụ %AppData%GFqaakWinDriv.url, mmalite Zpzwm.exe.
- Na eri HKCUSoftwareMicrosoftWindowsCurrentVersionRun a na-emepụta igodo mmalite WinDriv.url.
Mmekọrịta na C&C
Loader AtProtect
Ọ bụrụ na ọkọlọtọ kwesịrị ekwesị dị, malware nwere ike ịmalite usoro zoro ezo iexplorer ma soro njikọ a kapịrị ọnụ iji gwa sava ahụ gbasara ọrịa na-aga nke ọma.
DataStealer
N'agbanyeghị usoro eji, nkwurịta okwu netwọk na-amalite site n'inweta IP mpụga nke onye ahụ na-eji akụ [http]://checkip[.]dyndns[.]org/.
Onye nnọchi anya: Mozilla/4.0 (dakọtara; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Usoro izugbe nke ozi ahụ bụ otu. Isi ihe dị ugbu a
|——- 404 Keylogger — {Ụdị} ——-|ebe {ụdị } dabara na ụdị ozi a na-ebufe.
Nke a bụ ozi gbasara sistemụ ahụ:
_______ + Ozi onye ihe metụtara + _______
IP: {Mpụga IP}
Aha onye nwe: {Aha Kọmputa}
Aha OS: {Aha OS}
Ụdị OS: {OS Version}
Platform OS: {Platform}
Nha RAM: {Nha RAM}
______________________________
Na n'ikpeazụ, ndị ebutere data.
SMTP
Isi okwu nke akwụkwọ ozi ahụ bụ nke a: 404 K | {Ụdị ozi} | Aha onye ahịa: {Username}.
N'ụzọ na-akpali mmasị, iji nyefee onye ahịa akwụkwọ ozi 404 Keylogger A na-eji sava SMTP nke ndị mmepe.
Nke a mere ka o kwe omume ịmata ụfọdụ ndị ahịa, yana email nke otu n'ime ndị mmepe.
FTP
Mgbe ị na-eji usoro a, a na-echekwa ozi anakọtara na faịlụ wee gụọ ebe ahụ ozugbo.
Echiche dị n'azụ omume a abụghị nke doro anya, mana ọ na-emepụta ihe mgbakwunye ọzọ maka ide iwu omume.
%HOMEDRIVE%%HOMEPATH%DocumentsA{nọmba aka ike}.txt
Pastebin
N'oge nyocha, a na-eji usoro a naanị iji nyefee okwuntughe zuru ezu. Ọzọkwa, a na-eji ya eme ihe ọ bụghị dị ka ihe ọzọ na abụọ mbụ, ma n'otu n'otu. Ọnọdụ ahụ bụ uru nke oge niile hà "Vavaa". Echere na nke a bụ aha onye ahịa.
Mmekọrịta na-apụta site na https protocol site na API pastebin. Pụtara api_paste_private nhata PASTE_UNLISTED, nke machibidoro ichọ ibe ndị a n'ime pastebin.
Algọridim nzuzo
Iweghachite faịlụ site na akụrụngwa
A na-echekwa ụgwọ akwụ ụgwọ na akụrụngwa bootloader Chebe n'ụdị onyonyo Bitmap. A na-eme mmịpụta n'ọtụtụ usoro:
- A na-ewepụta ọtụtụ bytes na foto a. A na-emeso pixel ọ bụla dị ka usoro nke 3 bytes n'usoro BGR. Mgbe mmịpụta gasịrị, 4 bytes mbụ nke nhazi ahụ na-echekwa ogologo ozi ahụ, ndị na-esote na-echekwa ozi ahụ n'onwe ya.
- A na-agbakọ igodo ahụ. Iji mee nke a, a na-agbakọ MD5 site na uru "ZpzwmjMJyfTNiRalKVrcSkxCN" akọwapụtara dị ka paswọọdụ. Edere hash nke si na ya pụta ugboro abụọ.
- A na-eme nkwubi okwu site na iji AES algọridim na ọnọdụ ECB.
Ọrụ ọjọọ
Onye na-aputa ihe
A na-eme ya na bootloader Chebe.
- Site na ịkpọtụrụ [activelink-repalce] A na-arịọ ọkwa nke ihe nkesa ahụ iji gosi na ọ dịla njikere ijere faịlụ ahụ. Ihe nkesa kwesịrị ịlaghachi “Gbanwuo”.
- Site na-ekwu [downloadlink-dochie] A na-ebudata ụgwọ a na-akwụ.
- Site n'enyemaka nke Koodu FranchyShell a na-agbanye ụgwọ ọrụ n'ime usoro ahụ [inj-dochie].
N'oge nyocha ngalaba 404project[.]xyz Achọpụtara ọnọdụ ndị ọzọ na VirusTotal 404 Keylogger, yana ọtụtụ ụdị loaders.
N'usoro iwu, a na-ekewa ha ụzọ abụọ:
- A na-eme nbudata site na akụrụngwa 404project[.]xyz.
Edebere data Base64 yana ezoro ezo AES. - Nhọrọ a nwere usoro dị iche iche ma yikarịrị ka ejiri ya na bootloader Chebe.
- Na nke mbụ ogbo, data na-kwajuru si pastebin na decoded iji ọrụ HexToByte.
- Na nke abụọ ogbo, isi iyi nke loading bụ 404project[.]xyz. Otú ọ dị, nbibi na ọrụ ngbanwe yiri nke ahụ dị na DataStealer. O nwere ike ịbụ na e bu ụzọ mee atụmatụ iji mejuputa ọrụ bootloader na modul isi.
- N'oge a, ụgwọ ọrụ adịlarị na akụrụngwa gosipụtara n'ụdị agbakọ. A hụkwara ọrụ mmịpụta ndị yiri ya na modul isi.
Ahụrụ ndị nbudata n'etiti faịlụ ndị nyochara njRat, SpyGate na RAT ndị ọzọ.
Keylogger
Oge izipu: nkeji iri atọ.
A na-akwado mkpụrụedemede niile. A na-agbanarị mkpụrụedemede pụrụ iche. Enwere nhazi maka igodo BackSpace na Hichapụ. Mmetụta nha mkpụrụedemde.
ClipboardLogger
Oge izipu: nkeji iri atọ.
Oge ntụli aka na-echekwa: 0,1 sekọnd.
Mgbapụ njikọ etinyere.
ScreenLogger
Oge izipu: nkeji iri atọ.
A na-echekwa nseta ihuenyo %HOMEDRIVE%%HOMEPATH%Akwụkwọ404k404pic.png.
Mgbe izipu nchekwa ahụ 404k na-ewepụ.
OkwuntugheStealer
Ike | Ndị ahịa ozi | Ndị ahịa FTP |
---|---|---|
Chrome | Outlook | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
icedragon | ||
PaleMoon | ||
cyberfox | ||
Chrome | ||
Brave Browser | ||
Ihe nchọgharị QQ | ||
Ihe nchọgharị iridium | ||
Ihe nchọgharị Xvast | ||
Chedot | ||
360 Ihe nchọgharị | ||
ComodoDragon | ||
360 Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostNchọgharị | ||
Ihe nchọgharị igwe | ||
chromium | ||
Vivaldi | ||
Ihe nchọgharị Slimjet | ||
orbitum | ||
CocCoc | ||
Uhie | ||
Ihe nchọgharị UC | ||
Ihe nchọgharị Epic | ||
Ihe nchọgharị Blisk | ||
opera |
Mmegide na nyocha dị ike
- Na-enyocha ma usoro a na-enyocha
Emere ya site na iji usoro ọchụchọ ọrụ, UsoroHacker, procexp64, procexp, procmon. Ọ bụrụ na achọtara opekata mpe otu, malware na-apụ apụ.
- Na-enyocha ma ị nọ na gburugburu mebere
Emere ya site na iji usoro ọchụchọ vmtoolsd, Ọrụ VGAuth, vmacthlp, Ọrụ VBox, VBoxTray. Ọ bụrụ na achọtara opekata mpe otu, malware na-apụ apụ.
- Ịda n'ụra maka sekọnd ise
- Ngosipụta ụdị igbe okwu dị iche iche
Enwere ike iji gafere ụfọdụ igbe ájá.
- Wepụ UAC
Emere ya site na edezi igodo ndekọ EnableLUA n'ime ntọala amụma otu.
- Na-etinye njirimara "zoro ezo" na faịlụ dị ugbu a.
- Ike ihichapụ faịlụ dị ugbu a.
Atụmatụ anaghị arụ ọrụ
N'oge nyocha nke bootloader na modul bụ isi, a chọtara ọrụ ndị na-ahụ maka ọrụ ndị ọzọ, ma a naghị eji ha eme ihe ọ bụla. Nke a nwere ike ịbụ n'ihi na malware ka na-emepe emepe ma a ga-agbasawanye ọrụ ahụ n'oge na-adịghị anya.
Loader AtProtect
Achọpụtara otu ọrụ na-ahụ maka nbudata na ịgbanye n'ime usoro ahụ msiexec.exe modul aka ike.
DataStealer
- Mwekota na usoro
- Mwepu na ọrụ decryption
O yikarịrị ka ezoro ezo data n'oge nkwurịta okwu netwọk ga-eme n'oge na-adịghị anya. - Na-akwụsị usoro antivirus
zlclient | Dvp95_0 | Pavsched | onye ọrụ9 |
egui | Igwe igwe | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | Ashwebsv |
olydbg | F-Agnt95 | PCwin98 | ashdisp |
anụ ahụ | Findvir | Pcfwallicon | ashmaisv |
wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-mmeri | Ugba 7 | Norton |
mma | Frw | Rav7 mmeri | Norton akpaaka-Chebe |
keyscrambler | F-Stopw | Rescue | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Nyochaa 32 | ccsetmgr |
Ackwin32 | Ibmasn | Nyochaa 95 | ccevtmgr |
na-eche nche | Ibmavsp | Scanpm | avadmin |
Anti-Trojan | icload95 | Nyochaa | oghere |
MGBANWE | Icloadnt | Ozi95 | avgnt |
Apvxdwin | Icmon | smc | nche |
ATRACK | Icsup95 | SMCSERVICE | kwuputa |
Mwepu akpaaka | Icsupnt | Na-achọ | avscan |
Avconsol | Iface | sphinx | nche |
Ekpu 32 | Imon98 | Zachaa95 | nde32krn |
Avgctrl | Jedi | SYMPROXYSVC | ndu32kui |
Avkserv | Mkpọchi2000 | Tbscan | clamscan |
Avnt | Nche | Tca | clamTray |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | MAKAFE | Tds2-Nt | newclam |
Avpcc | Molive | TermiNET | oladdin |
Avpdos32 | MPftray | Vet95 | sigtool |
Avpm | N32 nyocha | Vetray | w9 kp |
Aptc32 | NAVAPSVC | Vscan40 | Mechie |
Avpupd | NAVAPW32 | Vsecomr | cmgradian |
Avsched32 | NAVLU32 | Vshwin32 | alogserver |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Nww32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Oji | NeoWatch | Mpaghara mkpu | avsynmgr |
Cfiadmin | NISSERV | Mkpọchi2000 | avcmd |
Nyocha | Nisum | MGBE32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | sched |
Mkpọ ụkwụ 95 | NARỌN | avgcc | bu ụzọ emelitere |
Claw95cf | Kwalite | avgamsvr | MsMpEng |
Dị ọcha | Nvc95 | avgupsvc | MSASCui |
Cleaner3 | na-eche nche | avgw | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
dvp95 | Pavcl | onye ozi |
- Mbibi onwe
- Na-ebu data sitere na ihe ngosi akụrụngwa akọwapụtara
- Na-eṅomi faịlụ n'akụkụ ụzọ %Temp%tmpG[Ụbọchị na oge dị ugbu a na millise seconds].tmp
N'ụzọ na-akpali mmasị, otu ọrụ dị na AgentTesla malware. - Ọrụ worm
malware na-enweta ndepụta mgbasa ozi mbughari. A na-emepụta otu malware na mgbọrọgwụ nke sistemụ faịlụ mgbasa ozi nwere aha Sys.exe. A na-eji faịlụ emejuputa Autorun ikiun.inf.
Profaịlụ ọgụ
N'oge nyocha nke ụlọ ọrụ iwu, ọ ga-ekwe omume ịmepụta email na aha njirimara nke onye mmepụta - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Ọzọ, anyị chọtara vidiyo na-adọrọ mmasị na YouTube nke gosipụtara ịrụ ọrụ na onye na-ewu ụlọ.
Nke a mere ka o kwe omume ịchọta ọwa onye nrụpụta mbụ.
Ọ bịara doo anya na o nwere ahụmahụ n'ịde ndị na-ese ihe. Enwekwara njikọ na ibe na netwọk mmekọrịta, yana ezigbo aha onye edemede. Ọ tụgharịrị bụrụ onye bi na Iraq.
Nke a bụ ihe onye nrụpụta 404 Keylogger chere na ọ dị. Foto sitere na profaịlụ Facebook nke ya.
CERT Group-IB ekwupụtala iyi egwu ọhụrụ - 404 Keylogger - ebe nleba anya na nzaghachi elekere XNUMX maka iyi egwu cyber (SOC) na Bahrain.
isi: www.habr.com