Superioribus annis, Troiani mobiles strenue reposuerunt Troiani pro computatoribus personalibus, sic cessum novorum malware pro bono veteri "cars" et eorum activo usu cybercriminali, licet ingratus, tamen eventus est. Nuper, CERT Group-IB scriptor XNUMX/XNUMX informationis securitatis centrum incident responsionis deprehensa est inusitata hamatae inscriptio quae latebat novam PC malware quae munera Keylogger et PasswordStealer componit. Analystae attentio instructa est quomodo spyware in machinam utentis utentis - voce populari nuntio utens. Ilya Pomerantsev, analysis malware apud CERT Group-IB, quomodo opera malware, quare periculosum est, et etiam creatorem suum in Iraquia longinqua reperit.
Ita eamus ordine. Sub specie affectionis talis epistula picturam continebat, super strepitando in quo utens ad locum ductus est cdn.discordapp.comac malitiosa inde recepta.
Discordia utens, libera voce et nuntio textu, omnino non est inconveniens. De more alii nuntii vel retiacula socialia ad hos usus adhibentur.
Per accuratiorem analysim, familia malware identificatur. Versa est advena ad forum malware - 404 Keylogger.
Prima tabula pro venditione keylogger missa est hackforums ab usuario sub agnomine "404 Coder" die 8 Augusti.
Copia domain relatus est satis nuper - die 7 Septembris MMXIX.
Ut tincidunt dicunt in website 404projects[.]xyz, 404 instrumentum destinatum est ad societates adiuvandas discere de actionibus eorum clientium (cum eorum licentia) vel iis qui binarium suum ab adversa machinatione tueri volunt. Prospiciens, dicamus cum ultimo munere 404 Certe non cope.
Constituimus unum e tabulariorum regredi ac deprime quid sit "OPTIMUS SCITUS KEYLOGER" est.
Malware ecosystem
Loader 1 (AtillaCrypter)
Fons lima munitur utens EaxObfuscator et duos gradus loading AtProtect ex facultatibus sectionem. Per analysin aliorum exemplorum in VirusTotal inventa, manifestatum est hanc scaenam ab ipso Developer non provisam esse, sed ab suo cliente additam. Postea statutum est hunc praedones AtillaCrypter fuisse.
Bootloader II (AtProtect)
Re quidem vera, hic oneratus est pars integralis malware et, secundum intentionem elit, in functionem analysi contradicendi assumere debet.
Sed in praxi, machinationes tutelae sunt valde primitivae, et systemata nostra hoc malware feliciter deprehendunt.
Pelagus moduli oneratur usura Franchy ShellCode uaria. Nihilominus non excludimus alias optiones adhiberi potuisse, v.gr. RunPE.
Configurationis file
Consolatio in systemate
Consolidatio in systematis custoditur per bootloader AtProtectsi vexillum positum est.
- Tabella exscripta est per viam %AppData%GFqaakZpzwm.exe.
- Scapus creatus %AppData%GFqaakWinDriv.url, deductis Zpzwm.exe.
- In sequela HKCUSoftwareMicrosoftWindowsCurrentVersionRun satus a key est creatus WinDriv.url.
Commercium cum C & C *
Loader AtProtect
Si vexillum conveniens praesens adest, malware processum occultum deducere potest iexplorer et sequere nexum determinatum certiorem servo de infectio secunda.
DataStealer
Cuiuscumque methodi adhibita, communicatio retis incipit ab impetratione IP externae victimae utens subsidio [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Nuntius generalis structura eadem est. Header present
|--- 404 Keylogger β {Type} ββ|quibus {type} respondet rationi informationis transmissae.
Informationes circa systema sequentia est:
_______ + VICTIMA INFO + _______
IP: {Externus IP}
Nomen possessoris: nomen {Computer}
OS Nomen: {OS Nomen}
OS Version: {OS Version}
OS PlatForm: {Rot}
RAM Magnitudo: {RAM amplitudo}
______________________________
Et tandem data transmissa.
SMTP
Litterae subiectum est hoc modo: 404 K | {Nuntius Type} | Nomen clientis: {Username}.
Interestingly, litteras ad clientem tradere 404 Keylogger In tincidunt 'servo ESMTP adhibetur.
Inde effecit ut clientes aliquot cognoscerent, tum electronica cuiusdam tincidunt.
FTP
Cum hac ratione utens, notitiae collectae ad fasciculum servatae sunt et statim inde perlectae.
Logica post hanc actionem non plane clara est, sed additum artificium ad regulas morum scribendas creat.
%HOMEDRIVE%% HOMEPATH%Documenta{Arbitrary number}.txt
Pastebin
In tempore analysi haec methodus tantum usus est ad passwords furtivas transferendas. Ponitur autem non per jocum primis duobus, sed in parallelis. Conditio valor constantis aequalis "Vavaa" est. Nempe huius nomen est.
Commercium occurrit per https protocol per API pastebin. Meaning api_paste_private quod PASTE_UNLISTED, quod vetat inquirere in talibus paginis pastebin.
Encryption algorithms
Retrieving lima ex opibus
In payload reponitur in bootloader opibus AtProtect in forma imagines Bitmap. Extractio exercetur pluribus gradibus;
- Ordo bytes ex imagine eruitur. Quaelibet pixel in ordine BGR tractatur ut series 3 bytes. Post extractionem, primi 4 bytes ordinatae reponunt longitudinem nuntii, sequentia reponunt ipsum nuntium.
- Clavis computatur. Ad hoc faciendum, MD5 computatur ex valore "ZpzwmjMJyfTNiRalKVrcSkxCN" ut tessera specificata. Nullam bis scriptum inde est.
- Decryption fit utens algorithmo AES in modo ECB.
Malicious functionality
Download
Impleri in bootloader AtProtect.
- Per contactus [activelink-repalce] Status servi rogatur ad confirmandum paratum esse tabellam servire. In server debet redire "DE '.
- Link [downloadlink-reponere] Payload is downloaded.
- cum FranchyShellcode infusum est in processus payload [inj-reponere].
Per domain analysis 404projects[.]xyz Additional instantiae sunt idem in VirusTotal 404 Keyloggernec non varia onera.
Consuetudine dividuntur in duo genera;
- Downloading fit ab eopia 404projects[.]xyz.
Data Base64 exaratum est et encryptum AES. - Haec optio pluribus gradibus consistit et verisimillimum est in conjunctione cum bootloader AtProtect.
- In primo gradu, notitia onusta est ex pastebin et decoded per munus HexToByte.
- In secundo gradu, fons loading est 404projects[.]xyz. Sed functiones decompressione et decoctionis similes sunt illis quae in DataStealer inveniuntur. Probabiliter initio consilium fuit ad efficiendum munus in praecipuo modulo bootloader.
- Hac in scaena, payload iam in forma compressa manifestatur. Similes functiones extractionis etiam in modulo principali inventae sunt.
Downloaders inventae sunt inter files analysi njRat, SpyGate aliique RATS.
keylogger
Log tempus mittens: 30 minuta.
Omnia ingenia sustentantur. Notae singulares evaserunt. Est dispensando pro BackSpace et Delere claves. Casus sensitivo.
ClipboardLogger
Log tempus mittens: 30 minuta.
Quiddam suffragium periodus: 0,1 secundis.
Effectus nexus evadendi.
ScreenLogger
Log tempus mittens: 60 minuta.
Eenshotsscray salventur %HOMEDRIVE%% HOMEPATH%Documenta404k404pic.png.
Dimissis folder 404k deletum est.
PasswordStealer
| Browsers | Mail clients | FTP clients |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Incendia | Thunderbird | |
| SeaMonkey | Foxmail | |
| icedragon | ||
| PaleMoon | ||
| CyberFox | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360Browser | ||
| ComodoDragon | ||
| 360Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Chromium | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| CocCoc | ||
| torch | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Contra dynamica analysis
- Reprehendo an processus sit sub analysis
Effectus per processum quaerere taskmgr, ProcessHacker, procexp64, procexp, procmon. Si saltem inveniatur, exitus malware.
- Reprehendo si prope environment
Effectus per processum quaerere vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Si saltem inveniatur, exitus malware.
- Dormitionis pro V seconds
- Demonstratio diversorum generum alternis scriniis
Quidam sandboxes praeterire possunt.
- bypass UAC
Per edere subcriptio key EnableLUA in Group Policy occasus.
- Apponendo "Absconditum" attributum tabulae hodiernae.
- Facultatem ad delere lima.
Ut ultrices vestibulum Features
In analysi cursoris et moduli praecipui, inventa sunt munera quae auctori adiectis functionali rebus essent, sed usquam usus non sunt. Hoc verisimiliter ex eo quod malware etiamnum in evolutione et functiones cito dilatabitur.
Loader AtProtect
Munus inventum est quod oneret ac immitteret in processum msiexec.exe arbitrarii moduli.
DataStealer
- Consolatio in systemate
- Decompression et decryption munera
Verisimile est data encryption in retis communicationis retis mox effectum iri. - Antivirus processus terminans
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp * |
| personatus nigrifrons | Findvir | Pcfwallicon | ashmaisv |
| Wireshark | Fprot | Persfw | ashserv |
| avastui | F-c | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | rav7 | Sulpicius Severus |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| keyscrambler' | F-Stopw | Rescue | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
| Agnitum Outpost | Ibmavsp | Scanpm | avadmin |
| Anti-Troianus | Icload95 | Scrscan | avcenter |
| antivir | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | Smc | avguard |
| ATRACK | Icsupp95 | SMCSERVICE | avnotify |
| Autodown | Icsuppnt | collectumque premens uoluit | avscan |
| Avconsol | Iface | Sphinx | guardgui |
| Bird32 | Iomon98 | Sweep95 | nod32krn |
| Avgctrl | Iedienses advenimus | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown2000 | Tbscan | clamscan |
| Avnt | Cave | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | McAfee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TerminiNET | oladdin |
| Avpdos32 | MPftray | Vet95 | sigtool |
| Avpm | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Close |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | Zonealarm | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | Nisum | RESCUE32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | sched |
| Claw95 | NORTON | avgcc | preupd |
| Claw95cf | Nupgrade | avgamsvr | MsMpEng |
| lautus | Nvc95 | avgupsvc | MSASCui |
| Cleaner3 | Agnitum Outpost | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- Exitium auto-
- Loading notitia ex certa resource manifesta
- Effingo lima per viam %Temp%tmpG [Current date ac tempore in milliseconds]. tmp
Interestingly, idem munus in AgentTesla malware adest. - Vermis functionality
Malware album instrumentorum removendorum accipit. Exemplar malware creatum est in radice instrumentorum instrumentorum fasciculi cum nomine Sys.exe. Autorun lima usus est implemented autorun.inf.
Invasor profile
In analysi centri imperii, electronicam et agnomen elit - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Deinde invenimus an interesting video in YouTube quae cum artifice opus demonstrat.
Hoc effecit ut elit originalis canalis inveniret.
Patuit se experientiam in cryptographis scripto habuisse. Sunt etiam nexus cum paginis in retia sociali, tum verum nomen auctoris. Evertit ut incola Iraquiae esset.
Hoc est quod 404 Keylogger elit quasi speciem praebet. Photo de personali Facebook profile.
CERT Group-IB novam comminationem - 404 Keylogger - XNUMX-horam vigilantiam et responsionem centrum pro minis cyberinis (SOC) in Bahrain denuntiavit.
Source: www.habr.com