Di van salên dawî de, Trojanên mobîl bi awayekî çalak şûna Trojans ji bo komputerên kesane digirin, ji ber vê yekê derketina malwareyên nû ji bo "erebeyên" baş ên kevn û karanîna wan a çalak ji hêla sûcdarên sîber ve, her çend ne xweş be jî, hîn jî bûyerek e. Di van demên dawî de, CERT Group-IB ya XNUMX/XNUMX navenda bersivdayina bûyera ewlehiya agahdariyê e-nameyek phishingek neasayî ku malwareyek PC-ya nû vedişêre ku fonksiyonên Keylogger û PasswordStealer vedişêre. Bala analîstan kişand ser ku çawa spyware ket ser makîneya bikarhêner - bi karanîna peyamberek dengek populer. Ilya Pomerantsev, pisporek analîzkirina malware li CERT Group-IB, diyar kir ku malware çawa dixebite, çima xeternak e, û tewra afirînerê xwe li Iraqa dûr jî dît.
Ji ber vê yekê, em bi rêzê biçin. Di bin navê pêvekekê de, nameyek weha wêneyek hebû, li ser tikandina ku bikarhêner li ser malperê hate birin. cdn.discordapp.com, û pelek xerab ji wir hat daxistin.
Bikaranîna Discord, peyamberek deng û nivîsê ya belaş, pir bêkêmasî ye. Bi gelemperî, peyamberên tavilê an torên civakî yên din ji bo van armancan têne bikar anîn.
Di dema analîzek berfirehtir de, malbatek malware hate nas kirin. Derket holê ku ew nûhatiyek li bazara malware ye - 404 Keylogger.
Reklama yekem ji bo firotina keylogger li ser hate şandin hackforums ji hêla bikarhênerê di bin navê "404 Koder" de di 8ê Tebaxê de.
Domaina dikanê di van demên dawî de hate tomar kirin - di 7ê Îlona 2019an de.
Wekî ku pêşdebiran li ser malperê dibêjin 404proje[.]xyz, 404 amûrek e ku ji bo alîkariya pargîdaniyan di derbarê çalakiyên xerîdarên xwe de (bi destûra wan) an jî ji bo kesên ku dixwazin binarya xwe ji endezyariya berevajî biparêzin ve hatî çêkirin, hatî çêkirin. Li pêş çavan, em bi peywira paşîn re bibêjin 404 teqez bi ser nakeve.
Me biryar da ku em yek ji pelan berevajî bikin û kontrol bikin ka "BEST SMART KEYLOGGER" çi ye.
Ekosîstema malware
Loader 1 (AtillaCrypter)
Pelê çavkaniyê bi kar tê parastin EaxObfuscator û barkirina du-gavekî pêk tîne AtProtect ji beşa çavkaniyan. Di dema analîzkirina nimûneyên din ên ku li ser VirusTotal de hatine dîtin, eşkere bû ku ev qonax ne ji hêla pêşdebir bi xwe ve hatî peyda kirin, lê ji hêla xerîdarê wî ve hatî zêdekirin. Paşê hat diyarkirin ku ev bootloader AtillaCrypter bû.
Bootloader 2 (AtProtect)
Di rastiyê de, ev barker parçeyek yekbûyî ya malware ye û, li gorî mebesta pêşdebiran, divê fonksiyona analîzkirina dijberî bigire.
Lêbelê, di pratîkê de, mekanîzmayên parastinê zehf primitive in, û pergalên me bi serfirazî vê malware nas dikin.
Modula sereke bi kar tê barkirin Franchy ShellCode versiyonên cuda. Lêbelê, em ji holê ranakin ku vebijarkên din dikaribû bihatana bikar anîn, mînakî, RunPE.
Pelê veavakirinê
Di sîstemê de yekbûn
Yekbûn di pergalê de ji hêla bootloader ve tête peyda kirin AtProtect, heke ala têkildar were danîn.
- Pelê di rê de tê kopî kirin %AppData%GFqaakZpzwm.exe.
- Pelê tê çêkirin %AppData%GFqaakWinDriv.url, destpêkirin Zpzwm.exe.
- Di nav mijarê de HKCUSoftwareMicrosoftWindowsCurrentVersionRun mifteyek destpêkê tê afirandin WinDriv.url.
Têkiliya bi C & C
Loader AtProtect
Ger ala guncan hebe, malware dikare pêvajoyek veşartî bide destpêkirin iexplorer û lînka diyarkirî bişopînin da ku serverê di derbarê enfeksiyona serfiraz de agahdar bikin.
DataStealer
Tevî rêbaza ku tê bikar anîn, pêwendiya torê bi wergirtina IP-ya derveyî ya qurbaniyê bi karanîna çavkaniyê dest pê dike [http]://checkip[.]dyndns[.]org/.
Bikarhêner-Agent: Mozilla/4.0 (lihevhatî; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Avahiya giştî ya peyamê jî heman e. Header niha
|——- 404 Keylogger — {Tîp} ——-|ko {awa} bi celebê agahdariya ku têne şandin ve girêdayî ye.
Agahdariya jêrîn li ser pergalê ye:
_______ + AGAHIYA QURBAN + _______
IP: {IP-ya derve}
Navê Xwedî: {Navê kompîturê}
Navê OS: {OS Navê}
Guhertoya OS: {Guhertoya OS}
OS Platform: {Platform}
Mezinahiya RAM: {Mezinahiya RAM}
______________________________
Û di dawiyê de, daneyên veguhestin.
SMTP
Mijara nameyê wiha ye: 404 K | {Cûreya Peyamê} | Navê Xerîdar: {Navê bikarhêner}.
Balkêş e, ji bo gihandina nameyan ji xerîdar re 404 Keylogger Pêşkêşkara SMTP ya pêşdebiran tê bikar anîn.
Vê yekê gengaz kir ku hin xerîdar, û her weha e-nameya yek ji pêşdebiran nas bikin.
FTP
Dema ku vê rêbazê bikar bînin, agahdariya berhevkirî li pelek tê hilanîn û tavilê ji wir tê xwendin.
Mantiqa li pişt vê çalakiyê bi tevahî ne diyar e, lê ew ji bo nivîsandina qaîdeyên behrê hunerek zêde diafirîne.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Hejmara keyfî}.txt
pastebin
Di dema analîzê de, ev rêbaz tenê ji bo veguheztina şîfreyên dizî tê bikar anîn. Wekî din, ew ne wekî alternatîfek ji her du yekem, lê di paralel de tê bikar anîn. Şert nirxa domdar a "Vavaa" ye. Dibe ku ev navê xerîdar e.
Têkilî bi protokola https-ê bi navgîniya API-ê pêk tê pastebin. Mane api_paste_private wek hev PASTE_UNLISTED, ku lêgerîna rûpelên weha di nav de qedexe dike pastebin.
Algorîtmayên şîfrekirinê
Vegerandina pelek ji çavkaniyan
Payload di çavkaniyên bootloader de têne hilanîn AtProtect di forma wêneyên Bitmap de. Derxistin di çend qonaxan de pêk tê:
- Rêzikek byte ji wêneyê tê derxistin. Her pîxel di rêza BGR de wekî rêzek 3 byte tê hesibandin. Piştî derxistinê, 4 baytên pêşîn ên rêzê dirêjahiya peyamê hildibijêre, yên paşîn jî peyamê bixwe.
- Miftê tê hesibandin. Ji bo vê yekê, MD5 ji nirxa "ZpzwmjMJyfTNiRalKVrcSkxCN" ku wekî şîfreyê hatî destnîşan kirin tê hesibandin. Haşa encam du caran tê nivîsandin.
- Deşîfrekirin bi karanîna algorîtmaya AES di moda ECB de tête kirin.
Fonksiyona xerab
Downloader
Di bootloader de pêk tê AtProtect.
- Bi têkilî [activelink-repalce] Rewşa serverê tê xwestin ku piştrast bike ku ew amade ye ku pelê xizmetê bike. Divê server vegere "LI".
- Girêk [girêdana daxistin-li şûna] The payload tê daxistin.
- Bi alîkariya alîkariya FranchyShellcode bargiraniya pêvajoyê tê derzîkirin [inj-replace].
Di dema analîzkirina domainê de 404proje[.]xyz Mînakên din li ser VirusTotal hatin nas kirin 404 Keylogger, û her weha çend cûreyên barkêşan.
Bi kevneşopî, ew li du celeb têne dabeş kirin:
- Daxistin ji çavkaniyê tê kirin 404proje[.]xyz.
Daneyên Base64 kodkirî û AES şîfrekirî ne. - Ev vebijark ji çend qonaxan pêk tê û bi îhtîmalek mezin bi bootloader re tê bikar anîn AtProtect.
- Di qonaxa yekem de, dane ji barkirin pastebin û bi karanîna fonksiyonê deşîfre kirin HexToByte.
- Di qonaxa duyemîn de, çavkaniya barkirinê ev e 404proje[.]xyz. Lêbelê, fonksiyonên dekompresyon û dekodkirinê mîna yên ku di DataStealer de têne dîtin in. Dibe ku di destpêkê de hate plan kirin ku fonksiyona bootloader di modula sereke de bicîh bike.
- Di vê qonaxê de, bargiran jixwe di forma pêvekirî de di diyardeya çavkaniyê de ye. Di modula sereke de fonksiyonên derxistina wekhev jî hatin dîtin.
Dakêşker di nav pelên analîzkirî de hatin dîtin njRat, SpyGate û RATên din.
Keylogger
Dema şandina têketinê: 30 hûrdem.
Hemî karakter têne piştgirî kirin. Karakterên taybet direvin. Ji bo bişkojkên BackSpace û Delete pêvajoyek heye. Case hesas.
ClipboardLogger
Dema şandina têketinê: 30 hûrdem.
Dema dengdanê ya tampon: 0,1 çirke.
Reva girêdanê hate pêkanîn.
ScreenLogger
Dema şandina têketinê: 60 hûrdem.
Wêneyên dîmenan tê de têne tomar kirin %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Piştî şandina peldankê 404k tê jêbirin.
PasswordStealer
Bûrûndî | mişteriyên Mail | xerîdarên FTP |
---|---|---|
chrome | Nîr | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
icedragon | ||
Palîmoon | ||
cyberfox | ||
chrome | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360 Gerok | ||
ComodoDragon | ||
360Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Chromium | ||
Vivaldi | ||
SlimjetBrowser | ||
orbitum | ||
CocCoc | ||
Finddar | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
Opîra |
Berevajîkirina analîza dînamîkî
- Kontrol bikin ka pêvajoyek di bin analîzê de ye
Bi karanîna lêgerîna pêvajoyê pêk tê taskmgr, ProcessHacker, procexp64, procexp, procmon. Ger bi kêmanî yek were dîtin, malware derdikeve.
- Kontrol bikin ka hûn di hawîrdorek virtual de ne
Bi karanîna lêgerîna pêvajoyê pêk tê vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ger bi kêmanî yek were dîtin, malware derdikeve.
- Ji bo 5 saniyeyan di xew de diçe
- Xwenîşandana cûreyên cûda yên qutiyên diyalogê
Dikare ji bo derbaskirina hin sandboxan were bikar anîn.
- UAC derbas bikin
Bi guherandina mifteya qeydê tê kirin EnableLUA di mîhengên Polîtîkaya Komê de.
- Taybetmendiya "Veşartî" li pelê heyî sepand.
- Kapasîteya jêbirina pelê heyî.
Taybetmendiyên Neçalak
Di dema analîzkirina bootloader û modula sereke de, fonksiyonên ku ji fonksiyonên zêde berpirsiyar bûn hatin dîtin, lê ew li ti deran nayên bikar anîn. Ev belkî ji ber vê yekê ye ku malware hîn di pêşkeftinê de ye û fonksiyon dê di demek nêzîk de were berfireh kirin.
Loader AtProtect
Fonksiyonek hate dîtin ku berpirsiyariya barkirin û derzîlêdana pêvajoyê ye msiexec.exe module keyfî.
DataStealer
- Di sîstemê de yekbûn
- Dekompresyon û fonksiyonên deşîfrekirinê
Îhtîmal e ku şîfrekirina daneyê di dema ragihandina torê de dê di demek nêzîk de were bicîh kirin. - Bi dawîkirina pêvajoyên antivirus
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
Anubis | Findvir | Pcfwallicon | ashmaisv |
wireshark | Fprot | Persfw | ashserv |
avastui | F-prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | Rav7 | norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
keyscrambler | F-Stopw | Rizgarî | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Scan32 | ccsetmgr |
Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
Outpost | Ibmavsp | Scanpm | avadmin |
Anti-Trojan | Icload95 | Scrscan | avcenter |
AntiVir | Icloadnt | Serv95 | avgnt |
Apvxdwin | Icmon | smc | avguard |
ATRACK | Icsupp95 | SMCSERVICE | avnotify |
Autodown | Icsuppnt | Snort | avscan |
Avconsol | Iface | Ew Gioconda | guardgui |
Ave32 | Iomon98 | Sweep95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Lockdown2000 | Tbscan | clamscan |
Avnt | Derve binêre | Tca | clamTray |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | tirşikê |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | MPftray | Vet95 | sigtool |
Avpm | N32scanw | Vettray | w9xvebe |
Avptc32 | NAVAPSVC | Vscan40 | W nêzîk |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Blackice | NeoWatch | zonealarm | avsynmgr |
Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
Cfiaudit | Nisum | RESCUE32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | sched |
Claw95 | NORTON | avgcc | preupd |
Claw95cf | Nûvekirin | avgamsvr | MsMpEng |
Dermanê paqijîyê | Nvc95 | avgupsvc | MSASCui |
Paqijker3 | Outpost | avgw | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Xwe hilweşandin
- Daneyên ji manîfestoya çavkaniya diyarkirî bar dike
- Kopîkirina pelek li ser rêyekê %Temp%tmpG[Dîrok û dema niha bi milî çirkeyan].tmp
Balkêş e, fonksiyonek wekhev di malwareya AgentTesla de heye. - Fonksiyona kurmê
Malware navnîşek medyaya jêbirinê distîne. Kopiyek malware di koka pergala pelê ya medyayê de bi navî tê afirandin Sys.exe. Autorun bi karanîna pelek tête bicîh kirin autorun.inf.
Profîla êrîşkar
Di dema analîzkirina navenda fermandariyê de, gengaz bû ku e-name û paşnavê pêşdebir - Razer, ango Brwa, Brwa65, HiDDen PerSOn, 404 Coder were saz kirin. Dûv re, me vîdyoyek balkêş li ser YouTube dît ku xebata bi çêker re destnîşan dike.
Vê yekê gengaz kir ku kanala pêşdebirê orjînal bibînin.
Eşkere bû ku ezmûna wî di nivîsandina krîptografan de hebû. Her weha lînkên rûpelên li ser torên civakî, û her weha navê rastîn ê nivîskar jî hene. Derket holê ku ew niştecihê Iraqê ye.
Ya ku pêşdebirek 404 Keylogger qaşo xuya dike ev e. Wêne ji profîla wî ya kesane ya Facebookê.
CERT Group-IB gefek nû ragihand - 404 Keylogger - navendek çavdêrî û bersivdayînê ya XNUMX demjimêran ji bo gefên sîber (SOC) li Bahreyn.
Source: www.habr.com