I tausaga talu ai nei, o Trojans feaveaʻi o loʻo suia malosi Trojans mo komepiuta a le tagata lava ia, o le mea lea o le tulaʻi mai o malware fou mo le lelei "taʻavale" tuai ma lo latou faʻaaogaina malosi e cybercriminals, e ui lava e le fiafia, o se mea na tupu. Talu ai nei, o le CERT Group-IB's XNUMX/XNUMX information security response center na maua ai se imeli phishing e le masani ai o loʻo natia ai se PC fou malware e tuʻufaʻatasia galuega a Keylogger ma PasswordStealer. Na taula'i atu le au su'esu'e i le auala na o'o atu ai le spyware i le masini a le tagata fa'aoga - e fa'aaoga ai se avefe'au lauiloa. Ilya Pomerantsev, o se tagata tomai faapitoa i suʻesuʻega malware i le CERT Group-IB, na faʻamatalaina pe faʻafefea ona galue le malware, aisea e matautia ai, ma e oʻo lava ina maua lona foafoa i Iraq mamao.
O lea, tatou o i le faasologa. I lalo o le foliga o se faʻapipiʻi, o sea tusi o loʻo i ai se ata, i luga o le kilikiina lea na ave ai le tagata faʻaoga i le saite. cdn.discordapp.com, ma sa la'uina mai iina se faila leaga.
O le faʻaaogaina o Discord, o se leo saoloto ma le feau tusitusia, e le masani ai. E masani lava, o isi avefeau vave poʻo fesoʻotaʻiga lautele e faʻaaogaina mo nei faʻamoemoega.
I le taimi o se auiliiliga auiliili, na iloa ai se aiga o malware. Na foliga mai o se tagata fou i le maketi o malware - 404 Keylogger.
O le faʻasalalauga muamua mo le faʻatau atu o se keylogger na faʻasalalau i luga hackforums e le tagata fa'aoga i lalo o le igoa tauvalaau "404 Coder" ia Aokuso 8.
O le faleoloa na resitalaina talu ai nei - ia Setema 7, 2019.
E pei ona fai mai le au atinaʻe i luga o le upega tafaʻilagi 404poloketi[.]xyz, 404 ose meafaigaluega ua mamanuina e fesoasoani ai i kamupani e aʻoaʻo e uiga i gaoioiga a latou tagata faʻatau (faʻatasi ai ma la latou faʻatagaga) poʻo i latou e mananaʻo e puipuia a latou binary mai le faʻaogaina o le inisinia. Va'ai i luma, se'i tatou fa'apea i le galuega mulimuli 404 mautinoa e le mafai.
Na matou filifili e toe fesuiai se tasi o faila ma siaki poo le a le "BEST SMART KEYLOGGER".
Malware fa'anatura fa'anatura
La'u uta 1 (AtillaCrypter)
O le faila faila e puipuia i le faʻaaogaina EaxObfuscator ma fa'atino la'asaga lua la'asaga AtProtect mai le vaega o punaoa. I le taimi o suʻesuʻega o isi faʻataʻitaʻiga o loʻo maua i luga ole VirusTotal, na manino mai ai o lenei laasaga e leʻi saunia e le tagata atiaʻe lava ia, ae na faʻaopoopoina e lana tagata faʻatau. Na mulimuli ane iloa o lenei bootloader o AtillaCrypter.
Bootloader 2 (AtProtect)
O le mea moni, o lenei loader o se vaega taua o le malware ma, e tusa ai ma le faʻamoemoe o le tagata atiaʻe, e tatau ona faʻatinoina le faʻatinoga o suʻesuʻega faʻatusatusa.
Ae ui i lea, i le faʻatinoga, o le puipuiga o masini e matuaʻi leva lava, ma o matou faiga e mafai ona iloa lelei lenei malware.
O le module autu o loʻo faʻapipiʻiina e faʻaaoga Franchy ShellCode ituaiga eseese. Ae ui i lea, matou te le faʻaesea e mafai ona faʻaaogaina isi filifiliga, mo se faʻataʻitaʻiga, TamoʻePE.
Faiga faila
Fa'atasi i le faiga
O le faʻamalosia i totonu o le faiga e faʻamautinoa e le bootloader AtProtect, pe afai ua seti le fu'a fetaui.
- O le faila e kopi i luga o le ala %AppData%GFqaakZpzwm.exe.
- Ua faia le faila %AppData%GFqaakWinDriv.url, fa'alauiloa Zpzwm.exe.
- I le filo HKCUSoftwareMicrosoftWindowsCurrentVersionRun ua faia se ki amata WinDriv.url.
Fegalegaleaiga ma le C&F
Loader AtProtect
Afai o loʻo iai le fuʻa talafeagai, e mafai e le malware ona faʻalauiloa se faiga natia tagata su'esu'e ma mulimuli i le fesoʻotaʻiga faʻamaonia e logoina le server e uiga i faʻamaʻi manuia.
DataStealer
E tusa lava po o le a le auala e faʻaaogaina, fesoʻotaʻiga fesoʻotaʻiga e amata i le mauaina o le IP fafo o le tagata manua e faʻaaoga ai le punaoa [http]://checkip[.]dyndns[.]org/.
Tagata Fai-Agent: Mozilla/4.0 (fesoasoani; MSIE 6.0; Pupuni NT 5.2; .NET CLR1.0.3705;)
O le fausaga lautele o le savali e tutusa. Ulutala o iai
|——- 404 Keylogger — {Type} ——-|fea {type} e fetaui ma le ituaiga o faʻamatalaga o loʻo tuʻuina atu.
O fa'amatalaga nei e uiga i le faiga:
_______ + FA'AMATALAGA O LE TAGATA TAGATA + _______
IP: {IP fafo}
Igoa o le Pule: {Computer name}
Igoa ole OS: {OS Name}
OS Version: {OS Version}
OS Fa'avae: {Platform}
Tele ole RAM: {RAM size}
______________________________
Ma le mea mulimuli, o faʻamatalaga tuʻuina atu.
SMTP
O le autu o le tusi e faapea: 404 K | {Ituaiga Fe'au} | Igoa Fa'atau: {Username}.
O le mea e malie ai, e momoli atu tusi i le kalani 404 Keylogger O loʻo faʻaaogaina le server SMTP a le au atiaʻe.
O lenei mea na mafai ai ona iloa nisi o tagata faʻatau, faʻapea foʻi ma le imeli a se tasi o le au atiaʻe.
FTP
A faʻaaogaina lenei metotia, o faʻamatalaga aoina e teuina i se faila ma vave faitau mai iina.
E le o manino atoatoa le manatu i tua atu o lenei gaioiga, ae e fatuina ai se mea faʻaopoopo mo le tusiaina o tulafono o amioga.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Arbitrary number}.txt
Pastebin
I le taimi o suʻesuʻega, o lenei metotia e naʻo le faʻaaogaina e faʻafeiloaʻi ai upu faʻamaonia gaoia. E le gata i lea, e le faʻaaogaina e fai ma sui i le lua muamua, ae i le tutusa. O le tulaga o le tau o le tumau e tutusa ma le "Vavaa". Masalo o le igoa lea o le kalani.
Feso'ota'iga e tupu ile https protocol e ala ile API papepa. Uiga api_paste_private tutusa PASTE_LE LISI, lea e fa'asa ai le su'eina o ia itulau i totonu papepa.
Fa'ailoga algorithms
Toe aumai se faila mai punaoa
O le uta o loʻo teuina i totonu o punaoa bootloader AtProtect i foliga o ata Bitmap. O le faʻaogaina o loʻo faia i ni vaega:
- E maua mai se fa'asologa o paita mai le ata. O pika taʻitasi e faʻatatauina o se faʻasologa o le 3 paita i le BGR order. A maeʻa le faʻapipiʻiina, o le 4 paita muamua o le faʻasologa e teuina le umi o le feʻau, o mea mulimuli e teu ai le feʻau lava ia.
- Ua fuafuaina le ki. Ina ia faia lenei mea, MD5 e fuafua mai le tau "ZpzwmjMJyfTNiRalKVrcSkxCN" faʻamaonia e pei o le upu faʻamaonia. O le hash e maua e tusia faalua.
- O le faʻauʻuina o loʻo faia e faʻaaoga ai le AES algorithm i le ECB mode.
Faiga leaga
Totogi
Faʻatinoina i le bootloader AtProtect.
- E ala i le faafesootai [activelink-repalce] Ua talosagaina le tulaga o le server e fa'amaonia ai ua sauni e tautua le faila. E tatau ona toe foʻi mai le server “I”.
- Faʻatasi [downloadlink-sui] Ua sii mai le uta.
- Faatasi ai ma le fesoasoani a FranchyShellcode ua tui le uta i le faagasologa [inj-sui].
A'o su'esu'e vaega 404poloketi[.]xyz fa'aopoopo mea na fa'ailoaina ile VirusTotal 404 Keylogger, faʻapea foʻi ma le tele o ituaiga o uta.
Conventionally, ua vaevaeina i latou i ni ituaiga se lua:
- O lo'o fa'atinoina le la'uina mai le punaoa 404poloketi[.]xyz.
Fa'amaumauga o le Base64 fa'ailoga ma fa'ailoga AES. - O lenei filifiliga e aofia ai le tele o laʻasaga ma e sili ona faʻaaogaina faʻatasi ma se bootloader AtProtect.
- I le laasaga muamua, o faʻamaumauga e utaina mai papepa ma decoded e faaaoga ai le galuega HexToByte.
- I le tulaga lona lua, o le punavai o le utaina o le 404poloketi[.]xyz. Ae ui i lea, o le decompression ma le decoding galuega e tutusa ma mea o loʻo maua i le DataStealer. Masalo na fuafua muamua e faʻatino le faʻaogaina o le bootloader i le module autu.
- I le taimi nei, o le uta o loʻo i totonu o le punaoa faʻaalia i se faiga faʻapipiʻi. Na maua fo'i galuega fa'apei fa'apei i le module autu.
Na maua tagata e sii mai i totonu o faila na suʻesuʻeina njRat, SpyGate ma isi RAT.
Keylogger
Vaitaimi e lafo ai ogalaau: 30 minute.
E lagolagoina uma mataitusi. Ua sola ese tagata faapitoa. O lo'o iai le fa'agaioiga mo le BackSpace ma le Delete ki. Ma'ale'ale mata'upu.
ClipboardLogger
Vaitaimi e lafo ai ogalaau: 30 minute.
Vaitaimi o faiga palota: 0,1 sekone.
Fa'atino so'oga sola ese.
ScreenLogger
Vaitaimi e lafo ai ogalaau: 60 minute.
Ua teuina ata i totonu %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Ina ua uma ona auina atu le faila 404k ua aveese.
PasswordStealer
| Saini | Tagata fa'atau meli | FTP tagata fa'atau |
|---|---|---|
| Chrome | vaʻaiga | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| tarakona aisa | ||
| PaleMoon | ||
| Cyberhio | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360Su'esu'e | ||
| ComodoDragon | ||
| 360Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Chromium | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| CocCoc | ||
| Torch | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Fete'ena'iga i su'esu'ega malosi
- Siaki pe o se fa'agasologa o lo'o i lalo o su'esu'ega
Fa'atinoina ile fa'aogaina ole su'esu'ega taskmgr, ProcessHacker, procexp64, procexp, folafola. Afai e maua se tasi, e alu ese le malware.
- Siaki pe o e iai i se si'osi'omaga mata'utia
Fa'atinoina ile fa'aogaina ole su'esu'ega vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Afai e maua se tasi, e alu ese le malware.
- E moe mo le 5 sekone
- Fa'aaliga o ituaiga eseese o pusa fa'atalanoaga
E mafai ona fa'aoga e pasi ai nisi o pusa oneone.
- Ta'alo UAC
Fa'atino e ala i le fa'asa'oina o le ki resitala EnableLUA i Faiga Fa'avae Vaega.
- Fa'aoga le uiga "Natia" i le faila o lo'o iai nei.
- Malosiaga e tape le faila o iai nei.
Fa'aaliga le toaga
I le taimi o suʻesuʻega o le bootloader ma le module autu, na maua ai galuega e nafa ma galuega faʻaopoopo, ae e le faʻaaogaina i soo se mea. Atonu e mafua ona o le mea moni o loʻo faʻaauau pea le atinaʻeina o le malware ma o le a faʻalauteleina le gaioiga i se taimi lata mai.
Loader AtProtect
Na maua se galuega e nafa ma le utaina ma tui i totonu o le faagasologa msiexec.exe fa'atonuga module.
DataStealer
- Fa'atasi i le faiga
- Decompression ma decryption galuega tauave
E foliga mai o faʻamatalaga faʻamatalaga i le taimi o fesoʻotaʻiga fesoʻotaʻiga o le a vave ona faʻatinoina. - Fa'amuta faiga antivirus
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecinine | Pavw | avgserv9schedapp |
| fa'atauva'a | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | tisipefu |
| Aneti | Findvir | Pcfwallicon | ashmaisv |
| telefoni | Fprot | Persfw | ashserv |
| avastui | F-Puipui | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Manumalo | Rav7 | Norton |
| mama | Frw | Rav7win | Norton Auto-puipuia |
| tagata fa'atau ki | F-Stopw | laveai | norton_av |
| _Avpcc | Iamapp | Safeweb | notonav |
| _Avpm | Iamserv | Faitau vave32 | ccsetmgr |
| Ackwin32 | Ibmasn | Faitau vave95 | ccevtmgr |
| Faʻamatalaga | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Scrscan | avcenter |
| ANAFI | Icloadnt | Auauna95 | avgnt |
| Apvxdwin | Icmon | Smc | avguard |
| TOTOGI | Icsupp95 | SMCSERVICE | faailoa atu |
| Autodown | Icsuppnt | Snort | avscan |
| Avconsol | Iface | sphinx | guardgui |
| Ave32 | Iomoni98 | Salu95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Loka2000 | Tbscan | clamscan |
| Avnt | Vaai i fafo | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | u'u fou |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | MPftray | Vet95 | sigtool |
| Avpm | N32scanw | Vetray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Tapuni |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | Zonealarm | avsynmgr |
| Cfiadmin | NISSERV | LOKA 2000 | avcmd |
| Cfiaaudit | Nisum | LAVAE32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | fa'asologa |
| matiu95 | Norton | avgcc | mua'i saunia |
| matiu95cf | Fa'afou | avgamsvr | MsMpEng |
| Fufulu | Nvc95 | avgupsvc | MSASCui |
| Fa'amama3 | Faʻamatalaga | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- Fa'aleagaina o ia lava
- O lo'o utaina fa'amaumauga mai le fa'aaliga o punaoa fa'apitoa
- Kopi se faila i luga o se ala %Temp%tmpG[O le aso ma le taimi nei i milliseconds].tmp
O le mea e malie ai, o loʻo i ai se galuega tutusa i le AgentTesla malware. - Galuega a anufe
E maua e le malware se lisi o faʻasalalauga e mafai ona aveese. O se kopi o le malware e faia i le aʻa o le faila faila faila ma le igoa Sys.exe. Autorun e faʻaaogaina e faʻaaoga ai se faila autorun.inf.
Fa'ailoga tagata osofa'i
I le taimi o suʻesuʻega o le nofoaga autu, na mafai ai ona faʻatuina le imeli ma le igoa tauvalaau o le tagata faʻapipiʻi - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Na sosoo ai, na matou mauaina se vitio manaia i luga o YouTube e faʻaalia ai le galulue ma le faufale.
O le mea lea na mafai ai ona maua le auala muamua a le developer.
Na manino mai sa ia te ia le poto masani i le tusitusi cryptographers. E iai foʻi fesoʻotaʻiga i itulau i luga o fesoʻotaʻiga lautele, faʻapea foʻi ma le igoa moni o le tusitala. Na avea o ia ma tagata nofomau o Iraq.
O le mea lea e foliga mai o se 404 Keylogger developer. Ata mai lana fa'amatalaga patino Facebook.
CERT Group-IB ua faʻasalalau se faʻamataʻu fou - 404 Keylogger - o se XNUMX-itula mataʻituina ma tali atu nofoaga autu mo taufaamatau i luga ole laiga (SOC) i Bahrain.
puna: www.habr.com