Tao anatin'ny taona vitsivitsy izay, ny Trojans finday dia nanolo-tena tamim-pahavitrihana ny Trojans ho an'ny solosaina manokana, noho izany dia mbola hetsika ihany ny fipoiran'ny malware vaovao ho an'ireo "fiara" taloha tsara sy ny fampiasana mavitrika azy ireo amin'ny cybercriminals, na dia tsy mahafinaritra aza. Vao haingana, ny foibe famaliana ny trangan-javatra momba ny fiarovana 24/7 an'ny CERT Group-IB dia nahita mailaka phishing tsy mahazatra izay nanafina malware PC vaovao izay manambatra ny asan'ny Keylogger sy PasswordStealer. Nisarika ny sain'ny mpandinika ny fomba nidiran'ny spyware tao amin'ny masinin'ny mpampiasa - tamin'ny fampiasana iraka malaza feo. Ilya Pomerantsev, manampahaizana manokana momba ny famakafakana malware ao amin'ny CERT Group-IB, dia nanazava ny fomba fiasan'ilay malware, nahoana izy io no mampidi-doza, ary nahita ny mpamorona azy tany Iraka lavitra mihitsy aza.
Andeha Γ ry hilamina. Eo ambanin'ny mody attachment, misy sary ny taratasy toy izany, rehefa manindry izay nitondrana ilay mpampiasa tany amin'ilay tranokala. cdn.discordapp.com, ary nisy rakitra ratsy nalaina avy tao.
Ny fampiasana Discord, hafatra maimaim-poana sy hafatra an-tsoratra, dia tsy mahazatra. Amin'ny ankapobeny, iraka avy hatrany na tambajotra sosialy no ampiasaina amin'ireo tanjona ireo.
Nandritra ny famakafakana amin'ny antsipiriany kokoa dia nisy fianakaviana iray misy malware fantatra. Nivadika ho olom-baovao amin'ny tsenan'ny malware izany - 404 Keylogger.
Ny dokambarotra voalohany momba ny fivarotana keylogger dia navoaka tao hackforums avy amin'ny mpampiasa amin'ny anaram-bositra β404 Coderβ tamin'ny 8 aogositra.
Vao haingana no nisoratra anarana ny sehatra fivarotana - tamin'ny 7 septambra 2019.
Araka ny lazain'ny mpamorona ao amin'ny tranokala 404 tetikasa[.]xyz, 404 dia fitaovana natao hanampiana ireo orinasa hianatra momba ny asan'ny mpanjifany (miaraka amin'ny fanomezan-dΓ lana azy) na ho an'ireo izay te hiaro ny binariny amin'ny reverse engineering. Andeha hojerentsika izany miaraka amin'ny asa farany 404 tena tsy mahazaka.
Nanapa-kevitra ny hamadika ny iray amin'ireo rakitra izahay ary hijery ny atao hoe "BEST SMART KEYLOGGER".
Malware ecosystem
Loader 1 (AtillaCrypter)
Ny rakitra loharano dia voaaro amin'ny fampiasana EaxObfuscator ary manao loading dingana roa AtProtect avy amin'ny fizarana loharanon-karena. Nandritra ny famakafakana ireo santionany hafa hita tao amin'ny VirusTotal dia nazava fa tsy ny mpamorona mihitsy no nanome io dingana io, fa nampian'ny mpanjifany. Taty aoriana dia tapa-kevitra fa AtillaCrypter io bootloader io.
Bootloader 2 (AtProtect)
Raha ny marina, ity loader ity dia ampahany manan-danja amin'ny malware ary, araka ny fikasan'ny mpamorona, dia tokony handray ny asan'ny famakafakana fanoherana.
Na izany aza, amin'ny fampiharana, ny rafitra fiarovana dia tena tranainy, ary ny rafitray dia nahita soa aman-tsara ity malware ity.
Ny Module lehibe dia entina ampiasaina Franchy ShellCode dikan-teny samihafa. Na izany aza, tsy manilika izahay fa azo ampiasaina ny safidy hafa, ohatra, RunPE.
Fikirakirana
Consolidation ao amin'ny rafitra
Ny fanamafisana ao amin'ny rafitra dia miantoka ny bootloader AtProtect, raha apetraka ny saina mifanandrify aminy.
- Adika amin'ny lalana ny rakitra %AppData%GFqaakZpzwm.exe.
- Ny rakitra dia noforonina %AppData%GFqaakWinDriv.url, fandefasana Zpzwm.exe.
- Ao amin'ny kofehy HKCUSoftwareMicrosoftWindowsCurrentVersionRun misy fanalahidin'ny fanombohana noforonina WinDriv.url.
Fifandraisana amin'ny C&C
Loader AtProtect
Raha misy ny saina mety, dia afaka manomboka dingana miafina ny malware iexplorer ary araho ny rohy voatondro hampahafantatra ny mpizara momba ny aretina mahomby.
DataStealer
Na inona na inona fomba ampiasaina, ny fifandraisana amin'ny tambajotra dia manomboka amin'ny fahazoana ny IP ivelany an'ilay niharam-boina amin'ny fampiasana ny loharano [http]://checkip[.]dyndns[.]org/.
Mpampiasa-Agent: Mozilla/4.0 (mifanaraka; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Mitovy ny rafitra ankapoben'ny hafatra. Lohateny misy
|ββ- 404 Keylogger β {Type} ββ-|izay {karazana} mifanitsy amin'ny karazana fampahalalana ampitaina.
Ireto manaraka ireto ny fampahalalana momba ny rafitra:
_______ + FAMPIANARANA VICTIM + _______
IP: {IP ivelany}
Anaran'ny tompony: {Anaran'ny ordinatera}
Anaran'ny OS: {Anaran'ny OS}
Dikan'ny OS: {Dikan-teny OS}
OS Plateforme: {Platform}
Haben'ny RAM: {haben'ny RAM}
______________________________
Ary farany, ny angon-drakitra nampitaina.
SMTP
Ny lohahevitry ny taratasy dia toy izao manaraka izao: 404 K | {Karazana hafatra} | Anaran'ny mpanjifa: {Username}.
Mahaliana fa manatitra taratasy ho an'ny mpanjifa 404 Keylogger Ny mpizara SMTP an'ny mpamorona no ampiasaina.
Izany dia nahafahana namantatra ny mpanjifa sasany, ary koa ny mailaka an'ny iray amin'ireo mpamorona.
FTP
Rehefa mampiasa an'io fomba io dia voatahiry ao anaty rakitra ny fampahalalana voaangona ary vakiana avy hatrany.
Ny lojika ao ambadik'ity hetsika ity dia tsy mazava tsara, fa mamorona artifact fanampiny amin'ny fanoratana fitsipika momba ny fitondran-tena.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Arbitrary number}.txt
Pastebin
Amin'ny fotoan'ny famakafakana, io fomba io dia ampiasaina hamindrana tenimiafina halatra fotsiny. Ankoatra izany, dia tsy ampiasaina ho solon'ny roa voalohany, fa amin'ny parallèle. Ny fepetra dia ny sandan'ny tsy miova mitovy amin'ny "Vavaa". Azo inoana fa io no anaran'ny mpanjifa.
Ny fifandraisana dia mitranga amin'ny alΓ lan'ny protocol https amin'ny alΓ lan'ny API pastebin. hevitra api_paste_private dia PASTE_UNLISTED, izay mandrara ny fitadiavana pejy toy izany ao pastebin.
Algorithm encryption
Maka rakitra avy amin'ny loharano
Ny karama dia voatahiry ao amin'ny loharano bootloader AtProtect amin'ny endrika sary Bitmap. Ny fitrandrahana dia atao amin'ny dingana maromaro:
- Misy andian-bytes nalaina avy amin'ny sary. Ny piksel tsirairay dia raisina ho toy ny filaharana 3 bytes amin'ny filaharana BGR. Aorian'ny fitrandrahana, ny 4 bytes voalohany amin'ny array dia mitahiry ny halavan'ny hafatra, ny manaraka dia mitahiry ny hafatra.
- Kajy ny lakile. Mba hanaovana izany, MD5 dia kajy avy amin'ny sanda "ZpzwmjMJyfTNiRalKVrcSkxCN" voatondro ho ny tenimiafina. Soratana indroa ny hash vokatr'izany.
- Ny decryption dia atao amin'ny alΓ lan'ny algorithm AES amin'ny fomba ECB.
Fampiasa ratsy
Downloader
Hiverina any amin'ny bootloader AtProtect.
- Amin'ny fifandraisana [activelink-repalce] Angatahina ny satan'ny mpizara mba hanamafisana fa vonona ny hanolotra ilay rakitra. Tokony hiverina ny mpizara "ON".
- Amin'ny alΓ lan'ny referanso [Downloadlink-replace] Ny entana dia alaina.
- Amin'ny fanampian'ny FranchyShellcode ny enta-mavesatra dia atsipy ao amin'ny dingana [inj-solo].
Nandritra ny famakafakana sehatra 404 tetikasa[.]xyz Nisy tranga fanampiny hita tao amin'ny VirusTotal 404 Keylogger, ary koa karazana loader maromaro.
Conventionally, mizara ho karazany roa izy ireo:
- Ny fampidinana dia atao amin'ny loharano 404 tetikasa[.]xyz.
Ny angon-drakitra dia voahodina Base64 ary voarakotra AES. - Ity safidy ity dia misy dingana maromaro ary azo inoana fa ampiasaina miaraka amin'ny bootloader AtProtect.
- Amin'ny dingana voalohany, ny angon-drakitra dia entina avy pastebin ary decoded amin'ny fampiasana ny fiasa HexToByte.
- Amin'ny dingana faharoa, ny loharanon'ny entana dia ny 404 tetikasa[.]xyz. Na izany aza, ny fiasa decompression sy decoding dia mitovy amin'ny hita ao amin'ny DataStealer. Tany am-boalohany angamba no nokasaina hampihatra ny fampiasa bootloader ao amin'ny maody fototra.
- Amin'ity dingana ity, ny enta-mavesatra dia efa ao amin'ny fanehoana loharanon-karena amin'ny endrika voaporitra. Ny asa fitrandrahana mitovy amin'izany dia hita ihany koa tao amin'ny maody lehibe.
Hita tamin'ireo rakitra nodinihina ireo mpaka sary njRat, SpyGate ary RAT hafa.
Keylogger
Fe-potoana fandefasana log: 30 minitra.
Ny endri-tsoratra rehetra dia tohanana. Nandositra ny endri-tsoratra manokana. Misy ny fanodinana ny fanalahidy BackSpace sy Delete. Manaja sorabaventy sy soramadinika.
ClipboardLogger
Fe-potoana fandefasana log: 30 minitra.
Vanim-potoana fandatsaham-bato: 0,1 segondra.
Fandosirana rohy nampiharina.
ScreenLogger
Fe-potoana fandefasana log: 60 minitra.
Pikantsary dia voatahiry ao %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Rehefa avy nandefa ny lahatahiry 404k dia voafafa.
PasswordStealer
navigateur | Mpanjifa mailaka | FTP mpanjifa |
---|---|---|
Chrome | Outlook | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
icedragon | ||
PaleMoon | ||
Cyberfox | ||
Chrome | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360 Browser | ||
ComodoDragon | ||
360Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
chrome | ||
Vivaldi | ||
SlimjetBrowser | ||
orbitum | ||
CocCoc | ||
fanilo | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Mifanohitra amin'ny fanadihadiana dinamika
- Fanamarinana raha eo ambany famakafakana ny dingana iray
Notanterahina tamin'ny fampiasana fikarohana dingana taskmgr, ProcessHacker, procexp64, procexp, procmon. Raha farafaharatsiny iray no hita dia mivoaka ny malware.
- Manamarina raha ao anaty tontolo virtoaly ianao
Notanterahina tamin'ny fampiasana fikarohana dingana vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Raha farafaharatsiny iray no hita dia mivoaka ny malware.
- Matory mandritra ny 5 segondra
- Fampisehoana karazana boaty fifampiresahana
Azo ampiasaina handosirana boaty fasika sasany.
- Bypass UAC
Natao tamin'ny fanitsiana ny fanalahidin'ny rejisitra EnableLUA ao amin'ny firafitry ny politikan'ny vondrona.
- Mampihatra ny toetra "Hidden" amin'ny rakitra ankehitriny.
- Fahaizana mamafa ny rakitra ankehitriny.
Endri-javatra tsy mavitrika
Nandritra ny famakafakana ny bootloader sy ny maody fototra dia hita fa tompon'andraikitra amin'ny fiasa fanampiny, saingy tsy ampiasaina na aiza na aiza. Izany angamba dia noho ny zava-misy fa ny malware dia mbola eo amin'ny fampandrosoana ary ny fampiasa dia hitarina tsy ho ela.
Loader AtProtect
Nahitana asa iray izay tompon'andraikitra amin'ny fampidirana sy fampidirana ao anatin'ilay dingana msiexec.exe Module tsy mety.
DataStealer
- Consolidation ao amin'ny rafitra
- Decompression sy decryption asa
Azo inoana fa hampiharina tsy ho ela ny fanafenana angon-drakitra mandritra ny fifandraisana amin'ny tambajotra. - Famaranana ny fizotran'ny antivirus
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
Anubis | Findvir | Pcfwallicon | ashmaisv |
wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | Rav7 | Norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
keyscrambler | F-Stopw | Rescue | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Scan32 | ccsetmgr |
Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
toby | Ibmavsp | Scanpm | avadmin |
Anti-Trojan | Icload95 | Scrscan | avcenter |
ANTIVIR | Icloadnt | Serv95 | avgnt |
Apvxdwin | Icmon | Smc | avguard |
ATRACK | Icsupp95 | SMCSERVICE | avnotify |
Autodown | Icsuppnt | Snort | avscan |
Avconsol | Iface | Sphinx | guardgui |
Ave32 | Iomon98 | Sasao95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Lockdown2000 | Tbscan | clamscan |
Avnt | Tandremo | Tca | clamTray |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | MPftray | Vet95 | sigtool |
Avpm | N32scanw | Vetray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | AKAIKY |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Blackice | NeoWatch | Zonealarm | avsynmgr |
Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
Cfiaudit | Nisum | FAMONJENA32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | fandaharam-potoana |
Claw95 | Norton | avgcc | preupd |
Claw95cf | Nupgrade | avgamsvr | MsMpEng |
madio | Nvc95 | avgupsvc | MSASCui |
Cleaner3 | toby | avgw | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- tena fandringanana
- Fampidirana ny angona avy amin'ny fanehoana loharano voatondro
- Mandika rakitra amin'ny lalana iray %Temp%tmpG[Daty sy ora ankehitriny amin'ny milisegondra].tmp
Mahaliana fa misy fiasa mitovy amin'ny AgentTesla malware. - Functional kankana
Ny malware dia mahazo lisitry ny media azo esorina. Ny dika mitovy amin'ny malware dia noforonina ao amin'ny fototry ny rafi-drakitra media misy ny anarana Sys.exe. Autorun dia ampiharina amin'ny fampiasana rakitra autorun.inf.
Profile mpanafika
Nandritra ny famakafakana ny foibe baiko dia azo natao ny nametraka ny mailaka sy ny anaram-bositra - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Avy eo, nahita lahatsary mahaliana izahay tao amin'ny YouTube izay mampiseho ny fiaraha-miasa amin'ny mpanamboatra.
Izany dia nahafahana nahita ny fantsona mpamorona tany am-boalohany.
Nanjary nazava fa nanana traikefa tamin'ny fanoratana cryptographers izy. Misy rohy mankany amin'ny pejy ao amin'ny tambajotra sosialy, ary koa ny tena anaran'ny mpanoratra. Nipoitra fa mponina any Irak izy.
Toy izao ny endriky ny mpamorona 404 Keylogger. Sary avy amin'ny mombamomba azy manokana ao amin'ny Facebook.
CERT Group-IB dia nanambara fandrahonana vaovao - 404 Keylogger - foibe fanaraha-maso sy famaliana XNUMX ora ho an'ny fandrahonana an-tserasera (SOC) ao Bahrain.
Source: www.habr.com