🥇Keylogger ດ້ວຍຄວາມແປກໃຈ: ການວິເຄາະຂອງ keylogger ແລະ deanon ຂອງຜູ້ພັດທະນາຂອງຕົນ

ໃນຊຸມປີມໍ່ໆມານີ້, Trojan ມືຖືໄດ້ປ່ຽນແທນ Trojan ສໍາລັບຄອມພິວເຕີສ່ວນບຸກຄົນຢ່າງຈິງຈັງ, ດັ່ງນັ້ນການປະກົດຕົວຂອງ malware ໃຫມ່ສໍາລັບ "ລົດ" ເກົ່າທີ່ດີແລະການນໍາໃຊ້ຢ່າງຫ້າວຫັນຂອງພວກເຂົາໂດຍອາຊະຍາກໍາທາງອິນເຕີເນັດ, ເຖິງແມ່ນວ່າບໍ່ພໍໃຈ, ຍັງເປັນເຫດການ. ເມື່ອບໍ່ດົນມານີ້, ສູນຕອບໂຕ້ຄວາມປອດໄພຂອງຂໍ້ມູນ 24/7 ຂອງ CERT Group-IB ໄດ້ກວດພົບອີເມວຟິດຊິງທີ່ຜິດປົກກະຕິທີ່ເຊື່ອງ malware PC ໃໝ່ທີ່ລວມເອົາໜ້າທີ່ຂອງ Keylogger ແລະ PasswordStealer. ຄວາມສົນໃຈຂອງນັກວິເຄາະໄດ້ຖືກດຶງດູດເອົາກັບວິທີການ spyware ໄດ້ເຂົ້າໄປໃນເຄື່ອງຂອງຜູ້ໃຊ້ - ໂດຍໃຊ້ເຄື່ອງສົ່ງຂໍ້ຄວາມສຽງທີ່ນິຍົມ. Ilya Pomerantev, ຜູ້ຊ່ຽວຊານການວິເຄາະ malware ຢູ່ CERT Group-IB, ໄດ້ອະທິບາຍວ່າ malware ເຮັດວຽກແນວໃດ, ເປັນຫຍັງມັນເປັນອັນຕະລາຍ, ແລະແມ້ກະທັ້ງພົບຜູ້ສ້າງຂອງມັນຢູ່ໃນປະເທດອີຣັກທີ່ຫ່າງໄກ.

Итак, пойдем по порядку. Под видом вложения в таком вот письме содержалась картинка, при клике на которую пользователь попадал на сайт cdn.discordapp.com, и оттуда загружался вредоносный файл.

ການນໍາໃຊ້ Discord, ເປັນສຽງແລະຂໍ້ຄວາມຟຣີ, ແມ່ນຂ້ອນຂ້າງ unconventional. ໂດຍປົກກະຕິ, ຂໍ້ຄວາມທັນທີຫຼືເຄືອຂ່າຍສັງຄົມອື່ນໆແມ່ນໃຊ້ເພື່ອຈຸດປະສົງເຫຼົ່ານີ້.

В процессе более детального анализа было установлено семейство ВПО. Им оказался новичок на рынке вредоносных программ — 404 Keylogger.

Первое объявление о продаже кейлоггера было размещено на ເວທີການ hack ໂດຍຜູ້ໃຊ້ພາຍໃຕ້ຊື່ຫຼິ້ນ “404 Coder” ໃນວັນທີ 8 ສິງຫາ.

Домен магазина был зарегистрирован совсем недавно — 7 сентября 2019 года.

ດັ່ງທີ່ນັກພັດທະນາເວົ້າຢູ່ໃນເວັບໄຊທ໌ 404 ໂຄງການ[.]xyz, 404 — это инструмент, созданный, чтобы помочь компаниям узнавать о действиях своих клиентов (с их разрешения) или он нужен тем, кто желает защитить свой бинарный файл от реверс-инжиниринга. Забегая вперед, скажем, что с последней задачей 404 ແນ່ນອນບໍ່ໄດ້ຮັບມືກັບ.

ພວກເຮົາໄດ້ຕັດສິນໃຈທີ່ຈະກັບຄືນໄປບ່ອນຫນຶ່ງຂອງໄຟລ໌ແລະກວດເບິ່ງວ່າ "BEST KEYLOGGER SMART" ແມ່ນຫຍັງ.

ລະບົບນິເວດ malware

Loader 1 (AtillaCrypter)

ໄຟລ໌ຕົ້ນສະບັບຖືກປ້ອງກັນໂດຍໃຊ້ EaxObfuscator ແລະດໍາເນີນການໂຫຼດສອງຂັ້ນຕອນ AtProtect ຈາກພາກສ່ວນຊັບພະຍາກອນ. ໃນລະຫວ່າງການວິເຄາະຕົວຢ່າງອື່ນໆທີ່ພົບເຫັນຢູ່ໃນ VirusTotal, ມັນໄດ້ກາຍເປັນທີ່ຊັດເຈນວ່າຂັ້ນຕອນນີ້ບໍ່ໄດ້ຖືກສະຫນອງໃຫ້ໂດຍຜູ້ພັດທະນາເອງ, ແຕ່ໄດ້ຖືກເພີ່ມໂດຍລູກຄ້າຂອງລາວ. ຕໍ່ມາມັນໄດ້ຖືກກໍານົດວ່າ bootloader ນີ້ແມ່ນ AtillaCrypter.

Bootloader 2 (AtProtect)

ໃນຄວາມເປັນຈິງ, ເຄື່ອງໂຫລດນີ້ແມ່ນສ່ວນຫນຶ່ງທີ່ສໍາຄັນຂອງ malware ແລະ, ອີງຕາມຄວາມຕັ້ງໃຈຂອງຜູ້ພັດທະນາ, ຄວນປະຕິບັດຫນ້າທີ່ຂອງການວິເຄາະຕ້ານ.

ຢ່າງໃດກໍຕາມ, ໃນທາງປະຕິບັດ, ກົນໄກການປົກປ້ອງແມ່ນເບື້ອງຕົ້ນທີ່ສຸດ, ແລະລະບົບຂອງພວກເຮົາສາມາດກວດພົບ malware ນີ້ຢ່າງສໍາເລັດຜົນ.

ໂມດູນຕົ້ນຕໍຖືກໂຫລດໂດຍໃຊ້ Franchy ShellCode различных версий. Однако мы не исключаем, что могли использоваться и другие варианты, например, RunPE.

ໄຟລ໌ການຕັ້ງຄ່າ

ການລວມຕົວຢູ່ໃນລະບົບ

ການລວມຕົວຢູ່ໃນລະບົບແມ່ນຮັບປະກັນໂດຍ bootloader AtProtect, если установлен соответствующий флаг.

ໄຟລ໌ໄດ້ຖືກຄັດລອກຕາມເສັ້ນທາງ %AppData%GFqaakZpzwm.exe.
ກຳລັງສ້າງໄຟລ໌ %AppData%GFqaakWinDriv.url, ເປີດຕົວ Zpzwm.exe.
ໃນກະທູ້ HKCUSoftwareMicrosoftWindowsCurrentVersionRun ລະຫັດເລີ່ມຕົ້ນຖືກສ້າງຂື້ນ WinDriv.url.

Взаимодействие с C&C

Загрузчик AtProtect

ຖ້າມີທຸງທີ່ເຫມາະສົມ, malware ສາມາດເປີດຂະບວນການທີ່ເຊື່ອງໄວ້ iexplorer и перейти по указанной ссылке, чтобы уведомить сервер об успешном заражении.

ຜູ້ເກັບຂໍ້ມູນ

ໂດຍບໍ່ສົນເລື່ອງຂອງວິທີການທີ່ໃຊ້, ການສື່ສານເຄືອຂ່າຍເລີ່ມຕົ້ນດ້ວຍການໄດ້ຮັບ IP ພາຍນອກຂອງຜູ້ຖືກເຄາະຮ້າຍໂດຍໃຊ້ຊັບພະຍາກອນ [http]://checkip[.]dyndns[.]org/.

User-Agent: Mozilla/4.0 (ເຂົ້າກັນໄດ້; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

ໂຄງສ້າງທົ່ວໄປຂອງຂໍ້ຄວາມແມ່ນຄືກັນ. ມີສ່ວນຫົວ
|——- 404 Keylogger — {Type} ——-|ບ່ອນທີ່ {type} ສອດຄ້ອງກັບປະເພດຂອງຂໍ້ມູນທີ່ຖືກຖ່າຍທອດ.
ຕໍ່ໄປນີ້ແມ່ນຂໍ້ມູນກ່ຽວກັບລະບົບ:

_______ + ຂໍ້ມູນຜູ້ປະສົບໄພ + _______

IP: {IP ພາຍນອກ}
ຊື່ເຈົ້າຂອງ: {ຊື່ຄອມພິວເຕີ}
OS Name: {Название ОС}
ລຸ້ນ OS: {OS Version}
OS Platform: {Platform}
RAM Size: {Размер ОЗУ}
______________________________

ແລະສຸດທ້າຍ, ຂໍ້ມູນການຖ່າຍທອດ.

SMTP

ຫົວຂໍ້ຂອງຈົດໝາຍມີດັ່ງນີ້: 404 K | {ປະເພດຂໍ້ຄວາມ} | ຊື່ລູກຄ້າ: {Username}.

ຫນ້າສົນໃຈ, ເພື່ອສົ່ງຈົດຫມາຍໃຫ້ກັບລູກຄ້າ 404 Keylogger ເຄື່ອງແມ່ຂ່າຍ SMTP ຂອງຜູ້ພັດທະນາຖືກນໍາໃຊ້.

Это позволило выявить некоторых клиентов, а также почту одного из разработчиков.

FTP

ເມື່ອໃຊ້ວິທີການນີ້, ຂໍ້ມູນທີ່ເກັບກໍາໄດ້ຖືກບັນທຶກໄວ້ໃນໄຟລ໌ແລະທັນທີອ່ານຈາກບ່ອນນັ້ນ.

Логика этого действия не совсем понятна, однако это создает дополнительный артефакт для написания поведенческих правил.

%HOMEDRIVE%%HOMEPATH%DocumentsA{ຕົວເລກທີ່ຕົນມັກ}.txt

pastebin

На момент анализа этот метод применяется только для передачи украденных паролей. Причем он используется не как альтернатива первым двум, а параллельно. Условием является значение константы, равное «Vavaa». Предположительно, это имя клиента.

ປະຕິສໍາພັນເກີດຂຶ້ນໂດຍຜ່ານ https protocol ຜ່ານ API ບ່ອນກິນເຂົ້າ. ຄວາມຫມາຍ api_paste_private ເທົ່າທຽມກັນ PASTE_UNLISTED, ເຊິ່ງຫ້າມການຊອກຫາຫນ້າດັ່ງກ່າວໃນ ບ່ອນກິນເຂົ້າ.

ຂັ້ນຕອນການເຂົ້າລະຫັດ

ດຶງໄຟລ໌ຈາກຊັບພະຍາກອນ

Полезная нагрузка хранится в ресурсах загрузчика AtProtect в виде Bitmap-картинок. Извлечение осуществляется в несколько стадий:

array ຂອງ bytes ຖືກສະກັດອອກຈາກຮູບພາບ. ແຕ່ລະ pixels ຈະຖືກປະຕິບັດເປັນລໍາດັບຂອງ 3 bytes ໃນຄໍາສັ່ງ BGR. ຫຼັງຈາກການສະກັດເອົາ, 4 bytes ທໍາອິດຂອງ array ເກັບຄວາມຍາວຂອງຂໍ້ຄວາມ, ຕໍ່ມາເກັບຂໍ້ຄວາມຕົວມັນເອງ.
ຄີແມ່ນຄິດໄລ່. ເພື່ອເຮັດສິ່ງນີ້, MD5 ຖືກຄິດໄລ່ຈາກຄ່າ "ZpzwmjMJyfTNiRalKVrcSkxCN" ທີ່ລະບຸເປັນລະຫັດຜ່ານ. hash ຜົນໄດ້ຮັບແມ່ນຂຽນສອງຄັ້ງ.
Выполняется расшифровка алгоритмом AES в режиме ECB.

ການທໍາງານທີ່ເປັນອັນຕະລາຍ

ດາວໂຫຼດ

ປະຕິບັດຢູ່ໃນ bootloader AtProtect.

ໂດຍການຕິດຕໍ່ [activelink-repalce] ສະຖານະຂອງເຊີບເວີຖືກຮ້ອງຂໍເພື່ອຢືນຢັນວ່າມັນພ້ອມໃຫ້ບໍລິການໄຟລ໌ແລ້ວ. ເຄື່ອງແມ່ຂ່າຍຄວນຈະກັບຄືນມາ "ເປີດ".
ໂດຍການເຊື່ອມຕໍ່ [ດາວໂຫລດ link-replace] payload ໄດ້ຖືກດາວໂຫຼດແລ້ວ.
ດ້ວຍຄວາມຊ່ວຍເຫຼືອຂອງ ລະຫັດ FranchyShell payload ແມ່ນ injected ເຂົ້າໄປໃນຂະບວນການ [inj-ແທນທີ່].

ໃນລະຫວ່າງການວິເຄາະໂດເມນ 404 ໂຄງການ[.]xyz ຕົວຢ່າງເພີ່ມເຕີມໄດ້ຖືກກໍານົດຢູ່ໃນ VirusTotal 404 Keylogger, ເຊັ່ນດຽວກັນກັບຫຼາຍປະເພດຂອງ loaders.

ຕາມທໍາມະດາ, ພວກມັນແບ່ງອອກເປັນສອງປະເພດ:

ການດາວໂຫຼດແມ່ນດໍາເນີນການຈາກຊັບພະຍາກອນ 404 ໂຄງການ[.]xyz.

ຂໍ້ມູນຖືກເຂົ້າລະຫັດ Base64 ແລະເຂົ້າລະຫັດ AES.
ຕົວເລືອກນີ້ປະກອບດ້ວຍຫຼາຍຂັ້ນຕອນແລະສ່ວນຫຼາຍແມ່ນໃຊ້ຮ່ວມກັບ bootloader AtProtect.

ໃນຂັ້ນຕອນທໍາອິດ, ຂໍ້ມູນຖືກໂຫລດຈາກ ບ່ອນກິນເຂົ້າ ແລະຖອດລະຫັດໂດຍໃຊ້ຟັງຊັນ HexToByte.
ໃນຂັ້ນຕອນທີສອງ, ແຫຼ່ງຂອງການໂຫຼດແມ່ນ 404 ໂຄງການ[.]xyz. При этом функции декомпрессии и декодирования аналогичны найденным в DataStealer. Вероятно, изначально планировалось реализовать функционал загрузчика в основном модуле.
ໃນຂັ້ນຕອນນີ້, payload ແມ່ນແລ້ວຢູ່ໃນ manifest ຊັບພະຍາກອນໃນຮູບແບບບີບອັດ. ຟັງຊັນການສະກັດເອົາທີ່ຄ້າຍຄືກັນຍັງພົບເຫັນຢູ່ໃນໂມດູນຕົ້ນຕໍ.

Среди проанализированных файлов были найдены загрузчики njRat, SpyGate и других RAT.

Keylogger

ໄລຍະເວລາສົ່ງບັນທຶກ: 30 ນາທີ.

ຕົວອັກສອນທັງຫມົດແມ່ນສະຫນັບສະຫນູນ. ລັກສະນະພິເສດແມ່ນຫລົບຫນີ. ມີການປະມວນຜົນສຳລັບປຸ່ມ BackSpace ແລະ Delete. ກໍລະນີທີ່ລະອຽດອ່ອນ.

ClipboardLogger

ໄລຍະເວລາສົ່ງບັນທຶກ: 30 ນາທີ.

ໄລຍະເວລາການສໍາຫຼວດ Buffer: 0,1 ວິນາທີ.

ປະຕິບັດການເຊື່ອມຕໍ່ຫນີ.

ScreenLogger

ໄລຍະເວລາສົ່ງບັນທຶກ: 60 ນາທີ.

ບັນທຶກພາບໜ້າຈໍໄວ້ %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

ຫຼັງຈາກສົ່ງໂຟນເດີ 404k ຖືກລົບ.

ຜູ້ລັກລະຫັດຜ່ານ

ເບດບານ	ລູກຄ້າທາງໄປສະນີ	ລູກຄ້າ FTP
Chrome	ການຄາດຄະເນ	FileZilla
Firefox	Thunderbird
SeaMonkey	Foxmail
ມັງກອນກ້ອນ
PaleMoon
cyberfox
Chrome
BraveBrowser
QQBrowser
IridiumBrowser
XvastBrowser
ເຊດອດ
360 ບຣາວເຊີ
ComodoDragon
360Chrome
SuperBird
CentBrowser
GhostBrowser
IronBrowser
chromium
Vivaldi
SlimjetBrowser
ວົງໂຄຈອນ
CocCoc
Torch
UCBrowser
EpicBrowser
BliskBrowser
Opera

ການຕ້ານກັບການວິເຄາະແບບເຄື່ອນໄຫວ

ກວດເບິ່ງວ່າຂະບວນການແມ່ນຢູ່ພາຍໃຕ້ການວິເຄາະ
ດໍາເນີນການໂດຍໃຊ້ການຄົ້ນຫາຂະບວນການ taskmgr, ProcessHacker, procexp64, procexp, ໂປຣໂມຊັນ. ຖ້າພົບເຫັນຢ່າງໜ້ອຍນຶ່ງອັນ, malware ຈະອອກໄປ.
ກວດເບິ່ງວ່າທ່ານຢູ່ໃນສະພາບແວດລ້ອມ virtual
ດໍາເນີນການໂດຍໃຊ້ການຄົ້ນຫາຂະບວນການ vmtoolsd, VGAuthService, vmacthlp, ການບໍລິການ VBox, VBoxTray. ຖ້າພົບເຫັນຢ່າງໜ້ອຍນຶ່ງອັນ, malware ຈະອອກໄປ.
ນອນຫລັບ 5 ວິນາທີ
Демонстрация диалоговых окон различных типов
ສາມາດໃຊ້ເພື່ອຂ້າມກ່ອງຊາຍບາງອັນ.
ຂ້າມ UAC
ປະຕິບັດໂດຍການດັດແກ້ຄີລີຈິດຊີ EnableLUA ໃນການຕັ້ງຄ່ານະໂຍບາຍກຸ່ມ.
ນຳໃຊ້ຄຸນສົມບັດ "ເຊື່ອງ" ກັບໄຟລ໌ປັດຈຸບັນ.
ຄວາມສາມາດໃນການລຶບໄຟລ໌ປະຈຸບັນ.

Неактивные возможности

ໃນລະຫວ່າງການວິເຄາະຂອງ bootloader ແລະໂມດູນຕົ້ນຕໍ, ຫນ້າທີ່ໄດ້ຖືກພົບເຫັນວ່າມີຄວາມຮັບຜິດຊອບຕໍ່ການເຮັດວຽກເພີ່ມເຕີມ, ແຕ່ພວກມັນບໍ່ໄດ້ໃຊ້ທຸກບ່ອນ. ນີ້ແມ່ນອາດຈະເປັນຍ້ອນຄວາມຈິງທີ່ວ່າ malware ຍັງຢູ່ໃນການພັດທະນາແລະຫນ້າທີ່ຈະໄດ້ຮັບການຂະຫຍາຍໃນໄວໆນີ້.

Загрузчик AtProtect

ພົບເຫັນຫນ້າທີ່ຮັບຜິດຊອບສໍາລັບການໂຫຼດແລະສີດເຂົ້າໄປໃນຂະບວນການ msiexec.exe ໂມດູນທີ່ມັກ.

ຜູ້ເກັບຂໍ້ມູນ

ການລວມຕົວຢູ່ໃນລະບົບ
ການບີບອັດແລະການຖອດລະຫັດຟັງຊັນ

ມັນເປັນໄປໄດ້ວ່າການເຂົ້າລະຫັດຂໍ້ມູນໃນລະຫວ່າງການສື່ສານເຄືອຂ່າຍຈະຖືກປະຕິບັດໃນໄວໆນີ້.
ການຢຸດເຊົາຂະບວນການຕ້ານໄວຣັສ

zlclient	Dvp95_0	Pavsched	avgserv9
ອີກີ	Ecengine	ພາວ	avgserv9schedapp
bdagent	ປອດໄພ	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
anubis	Findvir	Pcfwallicon	ashmaisv
wireshark	Fprot	Persfw	ຂີ້ເທົ່າ
avastui	F-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-Win	Rav7	norton
mbam	Frw	Rav7win	Norton Auto-Protect
keyscrambler	F-Stopw	ກູ້ໄພ	norton_av
_Avpcc	Iamapp	Safeweb	Nortonav
_Avpm	Iamserv	ສະແກນ 32	ccsetmgr
Ackwin32	Ibmasn	ສະແກນ 95	ccevtmgr
ສະຖານທີ່ເກັບມ້ຽນ	Ibmavsp	Scanpm	avadmin
ຕ້ານ Trojan	Icload95	ສະແກນ	avcenter
Antivir	Icloadnt	Serv95	ສະເລ່ຍ
Apvxdwin	Icmon	smc	ປ້ອງກັນ
ການໂຈມຕີ	Icsup95	SMCSERVICE	avnotify
ອັດຕະໂນມັດ	Icsupnt	ດັງ	avscan
Avconsol	ໄອເຟດ	sphinx	guardgui
ຖະ ໜົນ 32	Iomon98	ກວາດ95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	Lockdown 2000	Tbscan	clamscan
Avnt	lookout	Tca	clamTray
Avp	ລູອລ	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	freshclam
Avpcc	Moolive	TermiNET	oladdin
Avpdos32	MPftray	Vet95	ເຄື່ອງມື
Avpm	N32 ສະແກນ	Vettray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	ປິດ
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	ນວ	Vsstat	mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
ດຳ	ນາວາວ	Wfindv32	vsstat
ດຳ	NeoWatch	ສັນຍານເຕືອນເຂດ	avsynmgr
Cfiadmin	NISSERV	LOCKDOWN 2000	avcmd
Cfiaudit	Nisum	ກູ້ໄພ32	avconfig
Cfinet	Nmain	LUCOMSERVER	licmgr
Cfinet32	Normist	avgcc	ຕາຕະລາງ
Claw95	ນາໂຕ	avgcc	preupd
Claw95cf	Nupgrade	avgamsvr	MsMpEng
ສະອາດ	Nvc95	avgupsvc	MSASCui
ຄົນທຳຄວາມສະອາດ3	ສະຖານທີ່ເກັບມ້ຽນ	avgw	Avira.Systray
Defwatch	Padmin	avgcc32
Dvp95	ພາວຄລ	ສະເລ່ຍ

ການທໍາລາຍຕົນເອງ
Загрузка данных из указанного ресурс-манифеста
ສຳເນົາໄຟລ໌ຕາມເສັ້ນທາງ %Temp%tmpG[ວັນທີ ແລະເວລາປັດຈຸບັນເປັນ milliseconds].tmp

ຫນ້າສົນໃຈ, ຟັງຊັນທີ່ຄ້າຍຄືກັນແມ່ນມີຢູ່ໃນ malware AgentTesla.
ການທໍາງານຂອງແມ່ທ້ອງ
ມັລແວໄດ້ຮັບບັນຊີລາຍຊື່ຂອງສື່ທີ່ຖອດອອກໄດ້. ສໍາເນົາຂອງ malware ຖືກສ້າງຂຶ້ນໃນຮາກຂອງລະບົບໄຟລ໌ສື່ມວນຊົນທີ່ມີຊື່ Sys.exe. Autorun ຖືກປະຕິບັດໂດຍໃຊ້ໄຟລ໌ autorun.inf.

ໂປຣໄຟລ໌ຜູ້ໂຈມຕີ

ໃນລະຫວ່າງການວິເຄາະຂອງສູນຄໍາສັ່ງ, ມັນເປັນໄປໄດ້ທີ່ຈະສ້າງຕັ້ງອີເມວແລະຊື່ຫຼິ້ນຂອງຜູ້ພັດທະນາ - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. ຕໍ່ໄປ, ພວກເຮົາພົບເຫັນວິດີໂອທີ່ຫນ້າສົນໃຈໃນ YouTube ທີ່ສະແດງໃຫ້ເຫັນການເຮັດວຽກກັບຜູ້ກໍ່ສ້າງ.

ນີ້ເຮັດໃຫ້ມັນເປັນໄປໄດ້ທີ່ຈະຊອກຫາຊ່ອງທາງນັກພັດທະນາຕົ້ນສະບັບ.

Стало ясно, что опыт в написании крипторов у него имеется. Там же есть ссылки на страницы в социальных сетях, а также настоящее имя автора. Им оказался житель Ирака.

Вот так, предположительно, выглядит разработчик 404 Keylogger. Фото из его личного профиля в Facebook.

CERT Group-IB ໄດ້ປະກາດໄພຂົ່ມຂູ່ໃຫມ່ - 404 Keylogger - ສູນຕິດຕາມແລະຕອບສະຫນອງຕໍ່ໄພຂົ່ມຂູ່ທາງອິນເຕີເນັດ (SOC) ຕະຫຼອດ XNUMX ຊົ່ວໂມງໃນປະເທດບາເຣນ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

Keylogger ດ້ວຍຄວາມແປກໃຈ: ການວິເຄາະຂອງ keylogger ແລະ deanon ຂອງຜູ້ພັດທະນາຂອງຕົນ

ລະບົບນິເວດ malware

Loader 1 (AtillaCrypter)

Bootloader 2 (AtProtect)

ໄຟລ໌ການຕັ້ງຄ່າ

ການລວມຕົວຢູ່ໃນລະບົບ

Взаимодействие с C&C

Загрузчик AtProtect

ຜູ້ເກັບຂໍ້ມູນ

SMTP

FTP

pastebin

ຂັ້ນຕອນການເຂົ້າລະຫັດ

ດຶງໄຟລ໌ຈາກຊັບພະຍາກອນ

ການທໍາງານທີ່ເປັນອັນຕະລາຍ

ດາວໂຫຼດ

Keylogger

ClipboardLogger

ScreenLogger

ຜູ້ລັກລະຫັດຜ່ານ

ການຕ້ານກັບການວິເຄາະແບບເຄື່ອນໄຫວ

Неактивные возможности

Загрузчик AtProtect

ຜູ້ເກັບຂໍ້ມູນ

ໂປຣໄຟລ໌ຜູ້ໂຈມຕີ

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ