αααα»αααααααααα»ααααΆαααααΆαα
α»ααααααααα Trojan α
αααααΆααα·ααααα»ααααα½ααααΆααααααααΌα Trojan αααααΆαααα»αααααΌαααααααΆαααααα½α ααΌα
ααααα αΎαααΆαααα
α‘αΎααααααααααααΈαααααΆαα "αααααα" α
αΆαααααααα’ αα·αααΆαααααΎααααΆααααααααααααα½ααααααα§αααα·αααααααΆαα’ααΈαααΊαα·α αααααΈααΆαα·ααααααΆαα
α·αααααααα αααα
ααααΆααααΉαααα·ααΆααααα½αα ααααΈαααα αααααααααααααΎαααα§αααααα ααα»αα»ααααα·ααΆαααααααΆα 24/7 αααα CERT Group-IB ααΆαααααΎαα’ααΈαααααααααα»αααΈααααααΆ ααααααα»αααΆααααααααα»αααααΌαααααααΈ ααααα½ααααα
αΌαααααΆααΌααα»αααΆααααα Keylogger αα·α PasswordStealer α ααΆαααα
α·ααααα»αααΆααααααα’ααααα·ααΆαααααΌαααΆαααΆααααΆααα
ααΎααααααα Spyware α
αΌααα
αααα»ααααΆαααΈαααααα’αααααααΎ αααααααΎαααααα·ααΈααααΎααΆαααΆααα‘ααααααααα·ααα Ilya PomerantsevαααααΆα’αααα―αααααα·ααΆαααααααα
CERT Group-IB ααΆαααααααααΈααααααααααααααααΎαααΆα α ααα»α’αααΈααΆαααΆααΆααΆααααααααααΆαα α αΎααααααΆααααΆαααααΎαα’ααααααααΎαααααααΆαα
α’ααΈαααΆααααααΆαα
ααΌα
αααα α
αΌαβααΎαβαα
βααΆαβααααΆααα αα
αααααααΌαααΆαααα―αααΆαααααΆαα αααα»αααααααααααΆαααΌαααΆααα½α αα
αααα
α»α
ααΎα’αααααααΎααααΆααααααΌαααΆααααααα
ααα ααααα cdn.discordapp.comα αΎαα―αααΆαααααΆααΆααα½αααααΌαααΆαααΆαααααΈααΈαααα
ααΆαααααΎααααΆαα Discord αααααΆααα‘ααα₯ααα·ααααα αα·αααααΎααΆαααΆα’αααα ααΊαα·αααΆαα·αααααααΆα ααΆααααααΆ α’αααααααΎααΆααααααΆαα α¬αααααΆααααααααααααααααααΌαααΆαααααΎαααααΆαααααααααααΆαααααα
αααα»αα’αα‘α»ααααααααΆααα·ααΆααααα’α·αααααααααα αααα»ααααα½ααΆααααααααααααΌαααΆαααααΎαα ααΆααΆαααααααααΆααα
ααΆα’αααα
αααΌαααααΈα
ααααααΈααααΆαααααα - 404 Keylogger.
ααΆαααααΆαααΆαα·αααααααααααΌααααααΆααααΆαααα keylogger ααααΌαααΆααααα αααα ααΎ αααα·ααΆ hack αααα’αααααααΎααααΆααααααααααααα α αααα "404 Coder" αα ααααααΈ 8 ααααΈα αΆα
αααα αΆαααααΌαααΆαα α»ααααααααααΈαααα - αα ααααααΈ 7 αααααααΆ ααααΆα 2019α
ααΌα
αααα’αααα’αα·αααααααα·ααΆααα
ααΎααα ααααα 404 αααααα[.]xyz, 404 ααΊααΆα§ααααααααααααΌαααΆααα
ααΆα‘αΎαααΎααααΈαα½ααααα»αα αα»ααα·ααααΆα’αααΈαααααααΆαααααα’αα·αα·αααααααα½ααα (αααααΆαααΆαα’αα»ααααΆαααΈαα½ααα) α¬αααααΆααα’ααααααα
ααααΆαααΆααααααααααααααΈααααααα½αααααΈαα·ααααααααααα
αααΆαα αααα‘ααααΎααα
αα»α α
αΌααα·ααΆαααΆααΆαα½αααΉααα·α
αα
ααΆαα
α»αααααα 404 α
αααΆααααΆαα·αα’αΆα
ααααΆαααΆαα
ααΎαααΆααααααα α α·ααααααα αααΆαα―αααΆααα½α α αΎααα·αα·αααααΎαααΆααΎ "BEST SMART KEYLOGGER" ααΆα’αααΈα
ααααααααα’αααΌααααα
Loader 1 (AtillaCrypter)
α―αααΆααααααααααΌαααΆαααΆαααΆααααααααΎ EaxObfuscator αα·αα’αα»ααααααΆααααα»αααΈαααα αΆα AtProtect ααΈαααααααααΆαα αααα»αα’αα‘α»ααααααααΆααα·ααΆαααΎααααΆααααααααααααααΆαααααΎααα ααΎ VirusTotal ααΆα αααΆααααΆααααΆααααΆααααΆαααααα·αααααΌαααΆαααααααααα’αααα’αα·αααααααααα½αα―ααα ααα»ααααααααΌαααΆααααααααααα’αα·αα·ααααααααΆααα αααααααααΆααααΌαααΆααααααααααΆαααααα·ααΈα αΆααααααΎααααααααααααααΊααΆ AtillaCrypter α
αααααα·ααΈα αΆααααααΎααααααααα 2 (AtProtect)
ααΆααα·α αααααα·ααΈαααα»ααααααΊααΆαααααααααΆαααα½αααααααα α αΎαααααα ααΆαααααααααα’αααα’αα·αααααα αα½αααααα½ααααα»αααΆαααααΆααα·ααΆααααααΆααα
αααααΆαααΆαααΆααααα αα
αααα»αααΆαα’αα»ααααααΆααααααα ααααααΆαααΆαααΆαααΊααΆαααααααααΎααααα»α α αΎαααααααααααααααΎαα’αΆα
ααααΎααααααααααααααααααα
αααΌαα»αααααΆααααααΌαααΆααααα»ααααααααΎ Franchy ShellCode αααααααααααααΆα ααααααΆαααΆααααα ααΎααα·αααΆαααααα αΌαααΆαααααΎαααααααααα’αΆα ααααΌαααΆαααααΎαα α§ααΆα ααα αααPE.
α―αααΆαααααααα
ααΆαααααααα
ααΆααα½ααα»ααα
αααα»ααααααααα
ααΆαααααα½αααααα½ααα αααα»αααααααααααααΌαααΆαααΆααΆααααααααα·ααΈα αΆααααααΎααααααααα AtProtectααααα·αααΎααααααααααΌαααααΆααααΌαααΆααααααα
- α―αααΆαβααααΌαβααΆαβα ααααβααΆαβααααΌα %AppData%GFqaakZpzwm.exe.
- α―αααΆαααααΌαααΆααααααΎα %AppData%GFqaakWinDriv.url, ααΎαααααΎαααΆα Zpzwm.exe.
- αα αααα»ααααααααα‘αΆα HKCUSoftwareMicrosoftWindowsCurrentVersionRun ααα αΆααααααΎαααααΌαααΆααααααΎαα‘αΎα WinDriv.url.
α’ααααααααααΆαα½α C&C
Loader AtProtect
ααααα·αααΎαααααααααααΆαααααααΆα αααααα’αΆα α αΆααααααΎαααααΎαααΆαααΆαα αααααα·ααΈ iexplorer α αΎαααααΎααΆαααααααααΆααααααΆαα ααΎααααΈααΌαααααΉαααααααΆαααΈαααα’αααΈααΆαααααααααααα
α’ααααα½α
αα·αααααα
ααααα·ααα·αααΈαα·ααΈααΆααααααααααΆαααααΎ ααΆαααααΆαααααααααααΆαα αΆααααααΎαααΆαα½αααΉαααΆαααα½αααΆα IP ααΆααααα ααααααααααααααααααααΎααααΆα [http]://checkip[.]dyndns[.]org/.
ααααΆααααΆαα’αααααααΎααααΆααα Mozilla/4.0 (ααααααΆ; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
αα
ααΆααααααααααΌαα
ααααΆαααΊααΌα
ααααΆα ααααααΆααΆαααααααΆα
|ββ- 404 Keylogger β {Type} ββ-|αααααΆαααααα {αααααα} ααααΌαααααΆαα
ααΉαααααααααααααααΆααααααααΌαααΆααααααΌαα
ααΆαααααααααααΆααααααΆαα’αααΈααααααααα
__________ + ααααααΆαααααααααα + _______
IPα {IP ααΆααααα
}
αααααααα
αΆααα {ααααααα»αααααΌααα}
ααααα OSα {OS Name}
αααα OSα {OS Version}
αααα·ααΆααααααααααααα·ααααα·ααΆαα {αααα·ααΆ}
ααα α RAMα {ααα α RAM}
______________________________
α αΎαααΈαααα»ααα·αααααααααααΆααααααΌαα
αααα SMTP
αααααΆααααααα·αα·αααΆαααΌα ααΆααααααα 404 K | {ααααααααΆα} | αααααα’αα·αα·ααα {αααααα’αααααααΎααααΆαα}.
αα½αα±ααα αΆααα’αΆααααααααΎααααΈαααααΌααααα»ααααα α’αα·αα·αα 404 Keylogger αααΆαααΈααα SMTP ααααα’αααα’αα·ααααααααααΌαααΆαααααΎααααΆααα
ααΆααααΎα±ααααΆα’αΆα
αααααα’ααααααααΆαα’αα·αα·αααα½αα
ααα½α ααααΌα
ααΆα’ααΈαααααααα’αααα’αα·ααααααααΆαα½αα
FTP
αα αααααααΎαα·ααΈααα ααααααΆαααααααααΌαααΆαααααΌαααΆααααααΆαα»ααααα»αα―αααΆα α αΎαα’αΆαααααΆααααΈααΈαααα
αααααα·ααααΆαα
ααΈααααααααααααΆααααααΊαα·αα
αααΆααααΆααααΆαααααα»αααααα ααα»ααααααΆαααααΎαααααα»αα»ααΆααααααααααααΆααααΆααααααα
αααΆααα’αΆαααααα·αα·ααΆα
%HOMEDRIVE%%HOMEPATH%DocumentsA{αααααααΆα}.txt
PasteBin
αα αααααααΆααα·ααΆα αα·ααΈααΆααααααααααααΌαααΆαααααΎααΎααααΈαααααααΆααααααααΆααααααα½α ααα»αααααα ααΎαααΈααααα ααα ααΆααααΌαααΆαααααααΎαα·ααααααΆαααααΎααααααΆααααΈαααααΌαα‘αΎα ααα»ααααααααααααΆα ααααααααααΊααΆααααααααααααααΎααΉα "αααΆαααΆ" α αααααααΆαααααΆαααααααααα’αα·αα·ααα
α’ααααααααααΎαα‘αΎαααΆαααααα·ααΈααΆα https ααΆαααα API αααΆααααΈαααΈα. α’αααααα api_paste_α―ααα ααααΎ PASTE_UNLISTEDαααα αΆαααΆααααΆααααααααααααααααααααα
αααα»α αααΆααααΈαααΈα.
αααα½ααααααααΆαααΆαα’αα·αααααΈα
ααΆαααΆαααα―αααΆαααΈααααΆα
ααααα»αααααΌαααΆααααα»ααα αααα»αααααΆααααααα·ααΈα αΆααααααΎααααααααα AtProtect αααα»αααααααααΌαααΆα Bitmap α ααΆααααααα ααααααΌαααΆαα’αα»αααααααα»αααααΆααααΆαααΆα αααΎαα
- α’αΆααααααααααΌαααΆααααααα ααααΈααΌαααΆαα ααΈααααααΈαα½ααααααΌαααΆαα αΆαααα»αααΆααααΆαααα 3 αααααα»αααααΆαα BGR α αααααΆααααΈααΆααααααα αα 4 ααααααΌαααα’αΆαααααααΆαα»αααααααααααΆα α’αααααααααααααααΆαααααααΆαα»αααΆαααααααα½αα―αα
- αααααΉαααααΌαααΆαααααΆα ααΎααααΈααααΎααΌα ααα MD5 ααααΌαααΆαααααΆααΈααααα "ZpzwmjMJyfTNiRalKVrcSkxCN" αααααΆααααααΆααααΆααΆααααααααΆααα αααααΆααααααααααΌαααΆααααααααΈαααα
- ααΆααα·ααααΈαααααΌαααΆαα’αα»αααααααααααΎαααα½ααααααααΆα AES αα αααα»ααααα ECB α
αα»αααΆαααααΆααΆα
ααΆαααα―αααΆα
ααΆαα’αα»αααααα αααα»ααααααα·ααΈα αΆααααααΎααααααααα AtProtect.
- αααααααΆαααααα [activelink-repalce] ααααΆαααΆααααααααΆαααΈαααααααΌαααΆαααααΎαα»αααΎααααΈαααααΆααααΆααΆαα½α ααΆααααΎααααΈαααααΎα―αααΆαα αααΆαααΈααααα½ααααααααααααα·α "ααΎα".
- ααΆαααα [ααΆαααααααααα½α] ααααα»αααααΌαααΆαααΆαααα
- αααααΆααααα½αααΈ ααΌα FranchyShell ααααα»αααααΌαααΆαα αΆααα αΌααα αααα»αααααΎαααΆα [inj-αααα½α].
ααα‘α»αααααα·ααΆαααα 404 αααααα[.]xyz ααααΈααααααααααΌαααΆαααααΎααα ααΎ VirusTotal 404 KeyloggerααααΌα ααΆα§ααααααααα»αααΆα αααΎαααααααα
ααΆαααααααΆαα½αααααααΌαααΆααααα
ααααΆααΈαααααααα
- ααΆαααΆαααααααΌαααΆαα’αα»ααααααΈααααΆα 404 αααααα[.]xyz.
αα·ααααααααααΌαααΆαα’αα·αααΌα Base64 α αΎαααααΌαααΆαα’αα·αααααΈα AES α - αααααΎααααααΆαααααΆααααΆαααΆα αααΎα α αΎαααααααΆααααΌαααΆαααααΎααααΆαααααααααΆααααΆαα½ααααααα·ααΈα αΆααααααΎααααααααα AtProtect.
- αα ααααΆααααΆαααααΌααα·ααααααααααΌαααΆααααα»αααΈ αααΆααααΈαααΈα αα·ααα·ααΌααααααααΎαα»αααΆα HexToByte.
- αα ααααΆααααΆαααΈααΈααααααααααΆααααα»αααΊ 404 αααααα[.]xyz. ααααααΆαααΆααααα αα»αααΆα decompression αα·α decoding ααΊαααααααα ααΉαα’αααΈαααααΆααα αααα»α DataStealerα ααΆαααα ααααΆααααΌαααΆαααααααα»αααααΌαααΎααααΈα’αα»αααααα»αααΆααααααα·ααΈα αΆααααααΎααααααααααα αααα»ααααΌαα»αααα
- αα ααααΆααααΆαααα payload ααΆααα½α α αΎααα αααα»α resource manifest αααα»ααααααααααααΆααααα αΆααα αα»αααΆαααΆαααααααααααααΆααααααΌαααΆαααααΎααα αααα»ααααΌαα»ααααααααα
α’αααααΆαααααααΌαααΆαααααΎααααα»αα ααααα―αααΆααααααΆααα·ααΆα njRat, SpyGate αα·α RATs ααααααααα
Keylogger α
ααααααααααΆαααααΎαααααα ααα»α α£α ααΆααΈα
αα½α’ααααααΆααα’ααααααΌαααΆαααΆααααα αα½α’αααααα·αααααααΌαααΆααααααα αααα½αα ααΆαααααΎαααΆααααααΆαα BackSpace αα·α Delete keysα αααααΆααβαα½α’ααααβααΌα βααα
ααααΆαααααααααααΆαα
ααααααααααΆαααααΎαααααα ααα»α α£α ααΆααΈα
ααααααααααααααααααααα’αΆααααα 0,1 αα·ααΆααΈα
ααΆααααα ααααΈααααααααΆαα’αα»ααααα
ScreenLogger
ααααααααααΆαααααΎαααααα ααα»α α£α ααΆααΈα
ααΌαααα’ααααααααααΌαααΆααααααΆαα»ααααα»α %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
αααααΆααααΈααααΎααα―αααΆα 404k ααααΌαααΆααα»αα
α’ααααα½α ααΆααααααααΆαα
αααααΈααααα | α’αα·αα·ααα’ααΈααα | α’αα·αα·αα FTP |
---|---|---|
αααααα·ααΈ Chrome | ααααααα·ααα | FileZilla |
αααα Firefox | αααΌααΆ | |
SeaMonkey | αααα»ααα Fox | |
ααΆαααΉααα | ||
ααΆαααα»α | ||
cyberfox | ||
αααααα·ααΈ Chrome | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
ααΌα | ||
360 αααααα·ααΈαα»ααα | ||
ComodoDragon | ||
360Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Chromium | ||
Vivaldi | ||
SlimjetBrowser | ||
α’αααα»α | ||
ααΌααΌααΌ | ||
ααααα | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
αααααα’αΌααααααΆ |
ααΆααααααΆαααα
ααΉαααΆααα·ααΆαααΆααααα
- αα·αα·αααααΎαααΆααΎααααΎαααΆααα½ααααα·ααααααααΆααα·ααΆααααα¬αα
ααααΎαααΆααααααααΎααΆαααααααα ααΆααα·α αα mgr, ProcessHacker, procexp64, procexp, ααααΌααα»α. ααααα·αααΎααααΎααααΆαα αα ααΆαααα½α αααααααΉαα ααα
- αααα»ααα·αα·αααααΎαααΆααΎα’ααααααα·ααα
αααα»αααα·ααΆααΆααα·αααα·ααααα¬αα
ααααΎαααΆααααααααΎααΆαααααααα vmtoolsd, ααααΆαααα VGAuth, vmacthlp, ααααΆαααα VBox, VBoxTray. ααααα·αααΎααααΎααααΆαα αα ααΆαααα½α αααααααΉαα ααα
- αααααα 5 αα·ααΆααΈ
- ααΆααααα αΆααααααααααααααααΆαααααα’αααααα’αα
α’αΆα ααααΌαααΆαααααΎααΎααααΈααααααΆαααααα’ααααααΆα ααα½αα ααα½αα
- ααααααΆαα UAC
α’αα»αααααααααΆαααααααα½αααΌαααα α»ααααααΈ EnableLUA αα αααα»αααΆαααααααααααΆααααααα»αα
- α’αα»αααααα»ααααααα "ααΆαα" αα α―αααΆααα αα α»ααααααα
- αααααααΆααααα»αααΆααα»αα―αααΆααα αα α»ααααααα
αααααααα·αααα’ααααα
αααα»αα’αα‘α»ααααααααΆααα·ααΆααααααααα·ααΈα αΆααααααΎααααααααα αα·ααααΌαα»ααα αα»αααΆαααααΌαααΆαααααΎααααααα½ααα»αααααΌαα αααααα»αααΆααααααα ααα»ααααααΆαα·αααααΌαααΆαααααΎαα ααααααααΆαααααα ααααααα ααααΆαααααΆαααααααααα αααααα·ααααα»αααΆαα’αα·αααααα α αΎααα»αααΆαααΉαααααΌαααΆααααααΈααααα»ααααααΆααααααα
Loader AtProtect
αα»αααΆααα½αααααΌαααΆαααααΎααααααα½ααα»αααααΌααααααΆααααΆααααα»α αα·αα αΆααα αΌααα αααα»αααααΎαααΆα msiexec.exe α αααΌαα»αααααΆαα
α’ααααα½α αα·αααααα
- ααΆααα½ααα»ααα αααα»ααααααααα
- αα»αααΆα decompression αα·α decryption
ααΆααααααΆααΆααΆαα’αα·αααααΈααα·αααααααααα»αα’αα‘α»ααααααααΆαααααααααααΆαααΉαααααΌαααΆαα’αα»αααααααα»ααααααΆααααααα - ααΆααααα ααααααΎαααΆαααα αΆααααααα
zlclient | Dvp95_0 | Pavsche | avgserv9 |
α’ααΈα αααΈ | Ecengine | αααΆα | avgserv9schedapp |
bdagent | αα»ααααα·ααΆα | ααΈαααΈαααΈα’αΌααα»α | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
α’αΆααΌαααΈα | αααααααααΈα | Pcfwallicon | ashmaisv |
wireshark | Fprot | Persfw | ashserv |
avastui | α’αα αα - ααααΌ | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | αααΈαwsc |
vsmon | Fp-Win | αααΆαα α£α₯α¦ | ααααα»α |
ααα | α αααααΈ | Rav7win | ααααα»αααΆαααΆααααααααααααααααα· |
ααΌαααα | F-Stopw | αααααααα | ααααα»α_av |
_Avpcc | α’ααΈαααΆα | ααα ααααααα»ααααα·ααΆα | ααααα»α |
_Avpm | Iamserv | ααααα α£ | ccsetmgr |
α’αΆαααΈαα£α’ | α’ααΈαααΆα | ααααα α£ | ccevtmgr |
ααααααααααΎαα | α’ααΈαααΆαα’ααααΈ | αααααααΈα | avadmin |
αααααΆααααααα Trojan | Icload95 | ααααα | avcenter |
αααααΆααααΉαααααα | Icloadnt | αααααΎ α©α₯ | ααααα |
Apvxdwin | α’ααΈααα»α | Smc | avguard |
ATRACK | Icsup95 | SMCSERVICE | ααΌαααααΉα |
ααααααααααααα· | Icsupnt | Snort | avscan |
Avconsol | α’ααΈα ααα | Sphinx | guardgui |
Ave α€α’α§ | α’ααΈαααΌααα»α α©α¨ | ααα α’ | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32 αα»α |
Avkserv | ααΆαα αΆααααα 2000 | Tbscan | clamscan |
Avnt | ααααΆαααΎα | Tca | clamTray |
Avp | ααΌα | Tds2-98 | clamWin |
Avp32 | α αΆαααΆα ααα | Tds2-Nt | freshclam |
Avpcc | αααΌααΈα | TermiNET | α’αΌα‘αΆααΈα |
Avpdos32 | MPftray | ααα α©α₯ | α§ααααααααααΆ |
Avpm | ααααα N32 | αααααααΆα | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | αα·α |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | αααα»α£α’ | ααΈααααΈαα£α’ | alogserv |
AVSYNMGR | ααΆαααΆα | Vsstat | mcshield |
α’αΆααΈα α©α₯ | ααΆααα»α | Webscanx | vshwin32 |
Avwupd32 | ααΆααΈ α£α’ | WEBTRAP | avconsol |
αααα | ααΆααΈα | Wfindv32 | vsstat |
αααα | NeoWatch | ααα‘αααααα·ααααα»αααααα | avsynmgr |
αααΈα αααΈαααΆαααΈα | NISSERV | α αΆααααα 2000 | avcmd |
Cfiaudit | ααΈααΉα | αααααααα α£α’ | avconfig |
αααΈα αααΈααα | ααΉα | LUCOMSERVER | ααΈααΈααααΆα |
Cfinet32 | ααααααΆ | avgcc | ααΆααα·ααΆα |
ααααααΆα α©α₯ | ααααα»α | avgcc | preupd |
ααααααΆα95cf | ααα‘αΎααααα | avgamsvr | MsMpEng |
α’ααααααααα’αΆαα | Nvc95 | avgupsvc | MSASCui |
α’ααααααα’αΆα α£ | ααααααααααΎαα | avgw | Avira.Systray |
Defwatch | αααΆααΈα | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- ααΆαααααααΆααααα½αα―α
- αααα»ααααα»ααα·ααααααααΈ manifest ααααΆααααααΆααααααΆαα
- ααΆαα
ααααα―αααΆααα
ααΆαααααΌα %Temp%tmpG[ααΆαααα·α
αααα αα·ααααααααΆαα
αα
α»αααααααα·αααΆαα·ααααΈαα·ααΆααΈ].tmp
αα½αα±ααα αΆααα’αΆαααααα αα»αααΆαααΌα ααααΆαααααΆαααααααΆααα αααα»αααααα AgentTesla α - αα»αααΆαααααααα½α Worm
αααααααα½αααΆααααααΈαααααααα’αΆα ααα ααααΆαα α αααΆααα αααααααααααααααΌαααΆααααααΎααα αααα»α root ααααααααααα―αααΆααααααααααΆαααααα Sys.exe. Autorun ααααΌαααΆαα’αα»αααααααααααΎα―αααΆα autorun.inf.
αααααααα·ααΌαα’αααααΆααααα αΆα
αααα»αα’αα‘α»ααααααααΆααα·ααΆαααααααααααααααααΆααΆα’αΆα ααααΎαα ααΆαααΎααααΈαααααΎαα’ααΈααααα·ααααααα α αααα ααααα’αααα’αα·αααααα - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder α αααααΆαααα ααΎαααΆαααααΎαααΈααα’αΌαα½αα±ααα αΆααα’αΆαααααααα½ααα ααΎ YouTube ααααααα αΆαααΈααΆαααααΎααΆαααΆαα½αα’αααααΆααααα
ααΆααααΎα±ααααΆα’αΆα
αααααααααα»αααα·αα’αααα’αα·ααααααααΎαα
ααΆα
αααΆααααΆααααΆααΆααααΆααααα·ααααααααα»αααΆααααααααΌααααααΆααα ααΆααααΆααααααααΆαααα
ααΆααααααααα
ααΎαααααΆαααααα ααααΌα
ααΆααααααα·αααααα’ααααα·αααααααααα ααΆααααΆαααααααααΆααα
ααΆα’ααααααα»αα’ααΈαααΆααα
αααααΊααΆα’αααΈαααα’αααα’αα·αααααα 404 Keylogger ααααααααΆααΎααα α ααΌαααααΈα ααααααα»αααααΆαααααα½αααααααΆααα
CERT Group-IB ααΆααααααΆαααΈααΆαααααΆαααα ααααααΈ - 404 Keylogger - αααααααααααΆαααΆα αα·αααααΎααα XNUMX αααααααααΆααααΆαααααΆαααα ααααΆαα’ααΈαααΊαα·α (SOC) αα
αααα»αααααααααΆααααα
ααααα: www.habr.com