An de leschte Joeren hunn mobil Trojaner aktiv Trojaner fir perséinlech Computeren ersat, sou datt d'Entstoe vun neie Malware fir déi gutt al "Autoen" an hir aktiv Notzung vun Cyberkrimineller, obwuel onangenehm, nach ëmmer en Event ass. Viru kuerzem huet CERT Group-IB's XNUMX/XNUMX Informatiounssécherheet Tëschefall Response Center eng ongewéinlech Phishing E-Mail entdeckt déi eng nei PC Malware verstoppt huet déi d'Funktioune vu Keylogger a PasswordStealer kombinéiert. D'Opmierksamkeet vun den Analysten gouf op gezunn wéi d'Spyware op d'Maschinn vum Benotzer koum - mat engem populäre Voice Messenger. Ilya Pomerantsev, e Malware Analyse Spezialist bei CERT Group-IB, erkläert wéi d'Malware funktionnéiert, firwat et geféierlech ass, a souguer säi Schëpfer am wäiten Irak fonnt.
Also, loosst eis an Uerdnung goen. Ënnert dem Deckmantel vun engem Uschloss huet esou e Bréif e Bild enthale beim Klick op deem de Benotzer op de Site geholl gouf cdn.discordapp.com, an eng béiswëlleg Datei gouf vun do erofgelueden.
D'Benotzung vun Discord, eng gratis Stëmm an Text Messenger, ass zimmlech onkonventionell. Typesch ginn aner Instant Messenger oder sozial Netzwierker fir dës Zwecker benotzt.
Wärend enger méi detailléierter Analyse gouf eng Famill vu Malware identifizéiert. Et huet sech als Newcomer um Malwaremaart erausgestallt - 404 Keylogger.
Déi éischt Annonce fir de Verkaf vun engem Keylogger gouf op hackforums vum Benotzer ënner dem Spëtznumm "404 Coder" den 8. August.
De Buttek Domain gouf viru kuerzem registréiert - de 7. September 2019.
Wéi d'Entwéckler op der Websäit soen 404projects[.]xyz, 404 ass en Tool entwéckelt fir Firmen ze hëllefen iwwer d'Aktivitéite vun hire Clienten ze léieren (mat hirer Erlaabnis) oder fir déi, déi hir Binär vu Reverse Engineering wëllen schützen. Wa mir no vir kucken, loosst eis dat mat der leschter Aufgab soen 404 geet definitiv net un.
Mir hunn décidéiert eng vun de Fichieren ëmgedréint a kontrolléieren wat "BEST SMART KEYLOGGER" ass.
Malware Ökosystem
Loader 1 (AtillaCrypter)
D'Quelldatei ass geschützt mat EaxObfuscator a mécht zwee-Schrëtt Luede AtProtect aus der Ressource Sektioun. Wärend der Analyse vun anere Proben, déi op VirusTotal fonnt goufen, gouf kloer datt dës Etapp net vum Entwéckler selwer geliwwert gouf, mä vu sengem Client bäigefüügt gouf. Et gouf spéider festgestallt datt dësen Bootloader AtillaCrypter war.
Bootloader 2 (AtProtect)
Tatsächlech ass dëse Loader en integralen Deel vun der Malware an, no der Absicht vum Entwéckler, soll d'Funktionalitéit vun der Konteranalyse iwwerhuelen.
Wéi och ëmmer, an der Praxis sinn d'Schutzmechanismen extrem primitiv, an eis Systemer erkennen dës Malware erfollegräich.
Den Haaptmodul gëtt mat Hëllef gelueden Franchy ShellCode verschidde Versiounen. Mir schléissen awer net aus, datt aner Optioune benotzt kënne ginn, z.B. RunPE.
Configuratiounsdatei
Konsolidéierung am System
Konsolidéierung am System gëtt vum Bootloader gesuergt AtProtect, wann de entspriechende Fändel gesat ass.
- De Fichier gëtt laanscht de Wee kopéiert %AppData%GFqaakZpzwm.exe.
- De Fichier gëtt erstallt %AppData%GFqaakWinDriv.url, lancéiert Zpzwm.exe.
- Am Fuedem HKCUSoftwareMicrosoftWindowsCurrentVersionRun e Startup-Schlëssel gëtt erstallt WinDriv.url.
Interaktioun mat C&C
Loader AtProtect
Wann de passende Fändel präsent ass, kann d'Malware e verstoppte Prozess starten iexplorer a befollegt de spezifizéierte Link fir de Server iwwer erfollegräich Infektioun z'informéieren.
DataStealer
Onofhängeg vun der Method déi benotzt gëtt, fänkt d'Netzwierkkommunikatioun un mat der Erhalen vun der externer IP vum Affer mat der Ressource [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Déi allgemeng Struktur vum Message ass d'selwecht. Header present
|——- 404 Keylogger — {Typ} ——-|wou {Typ} entsprécht der Aart vun der Informatioun déi iwwerdroe gëtt.
Déi folgend ass Informatioun iwwer de System:
_______ + AfferINFO + _______
IP: {Extern IP}
Besëtzer Numm: {Computer Numm}
OS Numm: {OS Numm}
OS Versioun: {OS Versioun}
OS Plattform: {Plattform}
RAM Gréisst: {RAM Gréisst}
______________________________
An endlech, déi iwwerdroen Donnéeën.
Simple
D'Thema vum Bréif ass wéi follegt: 404k | {Message Typ} | Client Numm: {Benotzernumm}.
Interessanterweis fir Bréiwer un de Client ze liwweren 404 Keylogger Den SMTP-Server vum Entwéckler gëtt benotzt.
Dëst huet et méiglech gemaach e puer Clienten z'identifizéieren, souwéi d'E-Mail vun engem vun den Entwéckler.
FTP
Wann Dir dës Method benotzt, gëtt déi gesammelt Informatioun an eng Datei gespäichert an direkt vun do gelies.
D'Logik hannert dëser Handlung ass net ganz kloer, awer et erstellt en zousätzlechen Artefakt fir Verhalensregelen ze schreiwen.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Arbiträr Zuel}.txt
Pastebin
Zu der Zäit vun der Analyse gëtt dës Method nëmme benotzt fir geklaut Passwierder ze transferéieren. Ausserdeem gëtt et net als Alternativ zu den éischten zwee benotzt, awer parallel. D'Konditioun ass de Wäert vun der Konstante gläich "Vavaa". Wahrscheinlech ass dëst den Numm vum Client.
Interaktioun geschitt iwwer den https Protokoll iwwer d'API pastebin. Sinn api_paste_private gläicht PASTE_UNLISTED, déi verbueden no sou Säiten ze sichen an pastebin.
Verschlësselung Algorithmen
E Fichier aus Ressourcen zréckzéien
D'Notzlaascht gëtt a Bootloader Ressourcen gespäichert AtProtect a Form vu Bitmap Biller. Extraktioun gëtt an e puer Etappen duerchgefouert:
- Eng Array vu Bytes gëtt aus dem Bild extrahéiert. All Pixel gëtt als Sequenz vun 3 Bytes a BGR Uerdnung behandelt. No der Extraktioun späicheren déi éischt 4 Bytes vun der Array d'Längt vum Message, déi nächst späicheren de Message selwer.
- De Schlëssel gëtt berechent. Fir dëst ze maachen, gëtt MD5 aus dem Wäert "ZpzwmjMJyfTNiRalKVrcSkxCN" als Passwuert spezifizéiert berechent. De resultéierende Hash gëtt zweemol geschriwwen.
- D'Entschlësselung gëtt mam AES Algorithmus am EZB Modus duerchgefouert.
Béiswëlleg Funktionalitéit
Downloader
Am Bootloader implementéiert AtProtect.
- Mam Kontakt [activelink-repalce] De Status vum Server gëtt gefrot fir ze bestätegen datt et prett ass fir d'Datei ze déngen. De Server soll zréck "ON".
- Referenz [Downloadlink-ersetzen] D'Notzlaascht gëtt erofgelueden.
- Mat der Hëllef vun FranchyShellcode d'Notzlaascht gëtt an de Prozess injizéiert [inj-ersetzen].
Während Domain Analyse 404projects[.]xyz zousätzlech Fäll goufen op VirusTotal identifizéiert 404 Keylogger, wéi och verschidden Zorte vu Loader.
Konventionell si se an zwou Zorte opgedeelt:
- Den Download gëtt aus der Ressource duerchgefouert 404projects[.]xyz.
Daten sinn Base64 kodéiert an AES verschlësselte. - Dës Optioun besteet aus e puer Etappen a gëtt héchstwahrscheinlech a Verbindung mat engem Bootloader benotzt AtProtect.
- An der éischter Etapp ginn Daten aus gelueden pastebin an dekodéiert mat der Funktioun HexToByte.
- Op der zweeter Stuf ass d'Quell vum Luede de 404projects[.]xyz. Wéi och ëmmer, d'Dekompressioun an d'Dekodéierungsfunktiounen sinn ähnlech wéi déi am DataStealer fonnt. Et war wahrscheinlech ursprénglech geplangt fir d'Bootloader Funktionalitéit am Haaptmodul ëmzesetzen.
- Op dëser Etapp ass d'Notzlaascht schonn an der Ressource manifestéiert an enger kompriméierter Form. Ähnlech Extraktiounsfunktiounen goufen och am Haaptmodul fonnt.
Downloader goufen ënnert den analyséierten Dateien fonnt nj rat, SpyGate an aner RATs.
Keylogger
Log schéckt Period: 30 Minutten.
All Charaktere ginn ënnerstëtzt. Besonnesch Charaktere sinn entkomm. Et gëtt Veraarbechtung fir d'BackSpace an Delete Schlësselen. Case sensibel.
ClipboardLogger
Log schéckt Period: 30 Minutten.
Buffer Ëmfro Period: 0,1 Sekonnen.
Ëmgesat Link Fluchtweeër.
ScreenLogger
Log schéckt Period: 60 Minutten.
Screenshots ginn gespäichert an %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Nodeems Dir den Dossier geschéckt huet 404k gëtt geläscht.
Passwuert Stealer
| Browser | Mail Clienten | FTP Clienten |
|---|---|---|
| Bauoffall | Ausbléck | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Fox Mail | |
| EisDragon | ||
| PaleMoon | ||
| cyberfox | ||
| Bauoffall | ||
| BraveBrowser | ||
| QQBrowser | ||
| Iridium Browser | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Browser | ||
| ComodoDragon | ||
| 360 Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Chrom | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Orbitum | ||
| CocCoc | ||
| Torch | ||
| UCB Browser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Oper |
Géigewier zu dynamescher Analyse
- Iwwerpréift ob e Prozess ënner Analyse ass
Duerchgefouert mat Prozess Sich taskmgr, ProzessHacker, procexp64, procexp, procmon. Wann op d'mannst een fonnt gëtt, geet d'Malware eraus.
- Iwwerpréift ob Dir an engem virtuellen Ëmfeld sidd
Duerchgefouert mat Prozess Sich vmtoolsd, VGAuthService, vmachlp, VBoxService, VBoxTray. Wann op d'mannst een fonnt gëtt, geet d'Malware eraus.
- Schlofen fir 5 Sekonnen
- Demonstratioun vu verschiddenen Typen vun Dialogboxen
Kann benotzt ginn fir e puer Sandkëschten z'iwwergoen.
- Bypass UAC
Ausgefouert andeems Dir de Registry Schlëssel ännert EnableLUA an Group Policy Astellungen.
- Gëllt den Attribut "Hidden" op déi aktuell Datei.
- Fäegkeet fir déi aktuell Datei ze läschen.
Inaktiv Features
Wärend der Analyse vum Bootloader an dem Haaptmodul goufen Funktiounen fonnt, déi fir zousätzlech Funktionalitéit verantwortlech waren, awer se ginn néierens benotzt. Dëst ass wahrscheinlech wéinst der Tatsaach datt d'Malware nach ëmmer an der Entwécklung ass an d'Funktionalitéit geschwënn erweidert gëtt.
Loader AtProtect
Eng Funktioun gouf fonnt déi verantwortlech ass fir ze lueden an an de Prozess ze sprëtzen msiexec.exe arbiträr Modul.
DataStealer
- Konsolidéierung am System
- Dekompressioun an Entschlësselungsfunktiounen
Et ass méiglech datt Dateverschlësselung wärend der Netzwierkkommunikatioun geschwënn ëmgesat gëtt. - Antivirus Prozesser ofschléissen
| zl Client | Dvp95_0 | Pavsched | avgserv9 |
| ech | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Sécher | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt 95 | Pccwin98 | Äschedisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| Wëssenschaft | Fprot | Persfw | asw |
| avastui | F-prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot 95 | PVIEW 95 | symwsc |
| vsmon | Fp-Win | Rav 7 | Norton |
| mbam | Frw | Rav7 win | Norton Auto-Protect |
| keyscrambler | F-Stop | Rettung | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| Ackwin 32 | Ibmasn | Scan95 | ccevtmgr |
| Outpost | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload 95 | Scrscan | avcenter |
| ANTIVIR | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | smc | avguard |
| ATRACK | Eissupp95 | SMCSERVICE | avnotéieren |
| Autodown | Icsuppnt | Snort | avscan |
| Avconsol | Iface | Sphinx | guardgui |
| Ave 32 | Iomon98 | Schlof 95 | elo 32kr |
| Avgctrl | Jedi | SYMPROXYSVC | nkt 32 |
| Avkserv | Sperrung 2000 | Tbscan | clamscan |
| Avn | Erauskucken | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp 32 | mcafee | Tds2-Nt | frëschen |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | MPftray | vet95 | sigtool |
| Avpm | N32 Scanw | Vettray | w9x op |
| Avptc 32 | NAVAPSVC | Vscan 40 | Zoumaachen |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched 32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin 95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | nav 32 | WEBTRAP | avconsol |
| Schwaarz | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | zonealarm | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN 2000 | avcmd |
| Cfiaudit | Nisum | RETTING 32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet 32 | Normistesch | avgcc | sched |
| klo95 | Norton | avgcc | viraus |
| klo95cf | Upgrade | avgamsvr | MsMp Eng |
| Cleaner | nvc95 | avgupsvc | MSASCui |
| Cleaner 3 | Outpost | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| dvp 95 | Pavcl | avgserv |
- Selbstzerstéierung
- Lueden Daten aus der spezifizéierter Ressource Manifest
- Kopie vun enger Datei laanscht e Wee %Temp%tmpG[Aktuellen Datum an Zäit an Millisekonnen].tmp
Interessanterweis ass eng identesch Funktioun an AgentTesla Malware präsent. - Worm Funktionalitéit
De Malware kritt eng Lëscht vun eraushuelbare Medien. Eng Kopie vun der Malware gëtt an der Root vum Mediendateisystem mam Numm erstallt Sys.exe. Autorun gëtt mat enger Datei implementéiert autorun.inf.
Ugräifer Profil
Wärend der Analyse vum Kommandozenter war et méiglech d'E-Mail an de Spëtznumm vum Entwéckler ze etabléieren - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Als nächst hu mir en interessante Video op YouTube fonnt, deen d'Aarbecht mam Builder demonstréiert.
Dëst huet et méiglech gemaach den originelle Entwécklerkanal ze fannen.
Et gouf kloer datt hien Erfahrung am Schreiwen vun Kryptografen hat. Et ginn och Linken op Säiten op sozialen Netzwierker, wéi och de richtegen Numm vum Auteur. Hien huet sech als Awunner vum Irak erausgestallt.
Dëst ass wéi en 404 Keylogger Entwéckler vermeintlech ausgesäit. Foto vu sengem perséinleche Facebook Profil.
CERT Group-IB huet eng nei Bedrohung ugekënnegt - 404 Keylogger - e XNUMX-Stonne Iwwerwaachungs- an Äntwertzentrum fir Cyber Bedrohungen (SOC) zu Bahrain.
Source: will.com