சமீபத்திய ஆண்டுகளில், மொபைல் ட்ரோஜான்கள் தனிப்பட்ட கணினிகளுக்கான ட்ரோஜான்களை தீவிரமாக மாற்றுகின்றன, எனவே நல்ல பழைய "கார்களுக்கு" புதிய மால்வேர் தோன்றுவது மற்றும் சைபர் கிரைமினல்களால் அவற்றை செயலில் பயன்படுத்துவது விரும்பத்தகாதது என்றாலும், இன்னும் ஒரு நிகழ்வாக உள்ளது. சமீபத்தில், CERT Group-IB இன் 24/7 தகவல் பாதுகாப்பு நிகழ்வு மறுமொழி மையம், Keylogger மற்றும் PasswordStealer இன் செயல்பாடுகளை ஒருங்கிணைக்கும் புதிய PC தீம்பொருளை மறைக்கும் வழக்கத்திற்கு மாறான ஃபிஷிங் மின்னஞ்சலைக் கண்டறிந்தது. ஸ்பைவேர் பயனரின் கணினியில் எப்படி வந்தது - ஒரு பிரபலமான குரல் தூதரைப் பயன்படுத்தி ஆய்வாளர்களின் கவனம் ஈர்க்கப்பட்டது. இலியா பொமரண்ட்சேவ், CERT Group-IB இன் மால்வேர் பகுப்பாய்வு நிபுணர், தீம்பொருள் எவ்வாறு செயல்படுகிறது, அது ஏன் ஆபத்தானது, மேலும் தொலைதூர ஈராக்கில் அதன் உருவாக்கியவரைக் கண்டுபிடித்தார்.
எனவே, வரிசையில் செல்லலாம். இணைப்பு என்ற போர்வையில், அத்தகைய கடிதத்தில் ஒரு படம் உள்ளது, அதைக் கிளிக் செய்வதன் மூலம் பயனர் தளத்திற்கு அழைத்துச் செல்லப்பட்டார். cdn.discordapp.com, மற்றும் ஒரு தீங்கிழைக்கும் கோப்பு அங்கிருந்து பதிவிறக்கம் செய்யப்பட்டது.
இலவச குரல் மற்றும் உரை தூதரான டிஸ்கார்டைப் பயன்படுத்துவது வழக்கத்திற்கு மாறானது. பொதுவாக, இந்த நோக்கங்களுக்காக மற்ற உடனடி தூதர்கள் அல்லது சமூக வலைப்பின்னல்கள் பயன்படுத்தப்படுகின்றன.
மேலும் விரிவான பகுப்பாய்வின் போது, தீம்பொருளின் குடும்பம் அடையாளம் காணப்பட்டது. இது தீம்பொருள் சந்தையில் புதியதாக மாறியது - 404 கீலாக்கர்.
கீலாக்கர் விற்பனைக்கான முதல் விளம்பரம் அன்று வெளியிடப்பட்டது ஹேக்ஃபோரம்கள் ஆகஸ்ட் 404 அன்று “8 கோடர்” என்ற புனைப்பெயரில் பயனரால்.
ஸ்டோர் டொமைன் மிக சமீபத்தில் பதிவு செய்யப்பட்டது - செப்டம்பர் 7, 2019 அன்று.
டெவலப்பர்கள் இணையதளத்தில் சொல்வது போல் 404 திட்டங்கள்[.]xyz, 404 நிறுவனங்கள் தங்கள் வாடிக்கையாளர்களின் செயல்பாடுகள் (அவர்களின் அனுமதியுடன்) அல்லது தலைகீழ் பொறியியலில் இருந்து தங்கள் பைனரியைப் பாதுகாக்க விரும்புவோருக்கு உதவும் வகையில் வடிவமைக்கப்பட்ட ஒரு கருவியாகும். முன்னோக்கிப் பார்க்கும்போது, கடைசி பணியுடன் அதைச் சொல்லலாம் 404 நிச்சயமாக சமாளிக்க முடியாது.
கோப்புகளில் ஒன்றைத் திருப்பி, "சிறந்த ஸ்மார்ட் கீலாக்கர்" என்றால் என்ன என்பதைச் சரிபார்க்க முடிவு செய்தோம்.
மால்வேர் சுற்றுச்சூழல் அமைப்பு
ஏற்றி 1 (AtillaCrypter)
மூல கோப்பு பயன்படுத்தி பாதுகாக்கப்படுகிறது EaxObfuscator மற்றும் இரண்டு-படி ஏற்றுதல் செய்கிறது பாதுகாப்பு வளங்கள் பிரிவில் இருந்து. VirusTotal இல் காணப்படும் பிற மாதிரிகளின் பகுப்பாய்வின் போது, இந்த நிலை டெவலப்பரால் வழங்கப்படவில்லை, ஆனால் அவரது வாடிக்கையாளரால் சேர்க்கப்பட்டது என்பது தெளிவாகியது. இந்த துவக்க ஏற்றி AtillaCrypter என்று பின்னர் தீர்மானிக்கப்பட்டது.
பூட்லோடர் 2 (AtProtect)
உண்மையில், இந்த ஏற்றி தீம்பொருளின் ஒருங்கிணைந்த பகுதியாகும், மேலும் டெவலப்பரின் நோக்கத்தின்படி, பகுப்பாய்வை எதிர்க்கும் செயல்பாட்டை எடுத்துக்கொள்ள வேண்டும்.
இருப்பினும், நடைமுறையில், பாதுகாப்பு வழிமுறைகள் மிகவும் பழமையானவை, மேலும் எங்கள் அமைப்புகள் இந்த தீம்பொருளை வெற்றிகரமாகக் கண்டறியும்.
பிரதான தொகுதியைப் பயன்படுத்தி ஏற்றப்படுகிறது Franchy ShellCode வெவ்வேறு பதிப்புகள். இருப்பினும், பிற விருப்பங்களைப் பயன்படுத்தியிருக்கலாம் என்பதை நாங்கள் விலக்கவில்லை, எடுத்துக்காட்டாக, RunPE.
கட்டமைப்பு கோப்பு
அமைப்பில் ஒருங்கிணைப்பு
கணினியில் ஒருங்கிணைப்பு துவக்க ஏற்றி மூலம் உறுதி செய்யப்படுகிறது பாதுகாப்பு, தொடர்புடைய கொடி அமைக்கப்பட்டால்.
- கோப்பு பாதையில் நகலெடுக்கப்பட்டது %AppData%GFqaakZpzwm.exe.
- கோப்பு உருவாக்கப்பட்டது %AppData%GFqaakWinDriv.url, தொடங்குதல் Zpzwm.exe.
- நூலில் HKCUSoftwareMicrosoftWindowsCurrentVersionRun ஒரு தொடக்க விசை உருவாக்கப்பட்டது WinDriv.url.
C&C உடனான தொடர்பு
லோடர் AtProtect
பொருத்தமான கொடி இருந்தால், தீம்பொருள் மறைக்கப்பட்ட செயல்முறையைத் தொடங்கலாம் iexplorer வெற்றிகரமான தொற்று பற்றி சேவையகத்திற்குத் தெரிவிக்க, குறிப்பிட்ட இணைப்பைப் பின்தொடரவும்.
டேட்டா ஸ்டீலர்
பயன்படுத்தப்படும் முறையைப் பொருட்படுத்தாமல், வளத்தைப் பயன்படுத்தி பாதிக்கப்பட்டவரின் வெளிப்புற ஐபியைப் பெறுவதன் மூலம் நெட்வொர்க் தொடர்பு தொடங்குகிறது. [http]://checkip[.]dyndns[.]org/.
பயனர் முகவர்: Mozilla/4.0 (இணக்கமானது; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
செய்தியின் பொதுவான அமைப்பு ஒன்றுதான். தலைப்பு உள்ளது
|——- 404 கீலாக்கர் — {வகை} ——-|அங்கு {வகை} அனுப்பப்படும் தகவல் வகைக்கு ஒத்திருக்கிறது.
கணினி பற்றிய தகவல்கள் பின்வருமாறு:
_______ + பாதிக்கப்பட்ட தகவல் + _______
ஐபி: {வெளிப்புற ஐபி}
உரிமையாளர் பெயர்: {கணினி பெயர்}
OS பெயர்: {OS Name}
OS பதிப்பு: {OS பதிப்பு}
OS இயங்குதளம்: {Platform}
ரேம் அளவு: {RAM அளவு}
______________________________
இறுதியாக, அனுப்பப்பட்ட தரவு.
சார்ந்த SMTP
கடிதத்தின் பொருள் பின்வருமாறு: 404 K | {செய்தி வகை} | வாடிக்கையாளர் பெயர்: {Username}.
சுவாரஸ்யமாக, வாடிக்கையாளருக்கு கடிதங்களை வழங்குவது 404 கீலாக்கர் டெவலப்பர்களின் SMTP சேவையகம் பயன்படுத்தப்படுகிறது.
இது சில வாடிக்கையாளர்களையும், டெவலப்பர்களில் ஒருவரின் மின்னஞ்சலையும் அடையாளம் காண முடிந்தது.
FTP,
இந்த முறையைப் பயன்படுத்தும் போது, சேகரிக்கப்பட்ட தகவல்கள் ஒரு கோப்பில் சேமிக்கப்பட்டு உடனடியாக அங்கிருந்து படிக்கப்படும்.
இந்த செயலின் பின்னால் உள்ள தர்க்கம் முற்றிலும் தெளிவாக இல்லை, ஆனால் இது நடத்தை விதிகளை எழுதுவதற்கான கூடுதல் கலைப்பொருளை உருவாக்குகிறது.
%HOMEDRIVE%%HOMEPATH%ஆவணங்கள்A{தன்னிச்சையான எண்}.txt
Pastebin
பகுப்பாய்வு நேரத்தில், இந்த முறை திருடப்பட்ட கடவுச்சொற்களை மாற்ற மட்டுமே பயன்படுத்தப்படுகிறது. மேலும், இது முதல் இரண்டிற்கு மாற்றாக அல்ல, ஆனால் இணையாக பயன்படுத்தப்படுகிறது. நிபந்தனை என்பது "வாவா" க்கு சமமான மாறிலியின் மதிப்பு. மறைமுகமாக இது வாடிக்கையாளரின் பெயர்.
API வழியாக https நெறிமுறை மூலம் தொடர்பு ஏற்படுகிறது பேஸ்ட்பின். பொருள் api_paste_private உள்ளது PASTE_UNLISTED, இது போன்ற பக்கங்களைத் தேடுவதைத் தடை செய்கிறது பேஸ்ட்பின்.
குறியாக்க அல்காரிதம்கள்
ஆதாரங்களில் இருந்து கோப்பை மீட்டெடுக்கிறது
பேலோட் பூட்லோடர் ஆதாரங்களில் சேமிக்கப்படுகிறது பாதுகாப்பு பிட்மேப் படங்களின் வடிவத்தில். பிரித்தெடுத்தல் பல கட்டங்களில் மேற்கொள்ளப்படுகிறது:
- பைட்டுகளின் வரிசை படத்திலிருந்து பிரித்தெடுக்கப்படுகிறது. ஒவ்வொரு பிக்சலும் BGR வரிசையில் 3 பைட்டுகளின் வரிசையாகக் கருதப்படுகிறது. பிரித்தெடுத்த பிறகு, வரிசையின் முதல் 4 பைட்டுகள் செய்தியின் நீளத்தை சேமிக்கின்றன, அடுத்தடுத்தவை செய்தியையே சேமிக்கின்றன.
- முக்கிய கணக்கிடப்படுகிறது. இதைச் செய்ய, கடவுச்சொல்லாகக் குறிப்பிடப்பட்ட “ZpzwmjMJyfTNiRalKVrcSkxCN” மதிப்பிலிருந்து MD5 கணக்கிடப்படுகிறது. இதன் விளைவாக வரும் ஹாஷ் இரண்டு முறை எழுதப்பட்டுள்ளது.
- ECB பயன்முறையில் AES அல்காரிதத்தைப் பயன்படுத்தி மறைகுறியாக்கம் செய்யப்படுகிறது.
தீங்கிழைக்கும் செயல்பாடு
டவுன்லோடர்
பூட்லோடரில் செயல்படுத்தப்பட்டது பாதுகாப்பு.
- தொடர்பு கொண்டு [செயலில் இணைப்பு-மாற்றம்] கோப்பைச் சேவை செய்யத் தயாராக உள்ளதா என்பதை உறுதிப்படுத்த, சேவையகத்தின் நிலை கோரப்படுகிறது. சேவையகம் திரும்ப வேண்டும் “ஆன்”.
- இணைப்பு மூலம் [பதிவிறக்க இணைப்பு-மாற்று] பேலோட் பதிவிறக்கம் செய்யப்பட்டது.
- உதவியுடன் FranchyShellcode பேலோட் செயல்முறையில் செலுத்தப்படுகிறது [இஞ்ச்-மாற்று].
டொமைன் பகுப்பாய்வின் போது 404 திட்டங்கள்[.]xyz VirusTotal இல் கூடுதல் நிகழ்வுகள் அடையாளம் காணப்பட்டன 404 கீலாக்கர், அத்துடன் பல வகையான ஏற்றிகள்.
வழக்கமாக, அவை இரண்டு வகைகளாகப் பிரிக்கப்படுகின்றன:
- பதிவிறக்கம் வளத்திலிருந்து மேற்கொள்ளப்படுகிறது 404 திட்டங்கள்[.]xyz.
தரவு Base64 குறியாக்கம் செய்யப்பட்டு AES குறியாக்கம் செய்யப்பட்டுள்ளது. - இந்த விருப்பம் பல நிலைகளைக் கொண்டுள்ளது மற்றும் பெரும்பாலும் துவக்க ஏற்றியுடன் இணைந்து பயன்படுத்தப்படுகிறது பாதுகாப்பு.
- முதல் கட்டத்தில், தரவு ஏற்றப்பட்டது பேஸ்ட்பின் மற்றும் செயல்பாட்டைப் பயன்படுத்தி டிகோட் செய்யப்பட்டது ஹெக்ஸ்டோபைட்.
- இரண்டாவது கட்டத்தில், ஏற்றுவதற்கான ஆதாரம் 404 திட்டங்கள்[.]xyz. இருப்பினும், டிகம்ப்ரஷன் மற்றும் டிகோடிங் செயல்பாடுகள் DataStealer இல் உள்ளதைப் போலவே இருக்கும். முதன்மை தொகுதியில் துவக்க ஏற்றி செயல்பாட்டை செயல்படுத்த முதலில் திட்டமிடப்பட்டது.
- இந்த கட்டத்தில், பேலோட் ஏற்கனவே வள மேனிஃபெஸ்ட்டில் சுருக்கப்பட்ட வடிவத்தில் உள்ளது. இதே போன்ற பிரித்தெடுத்தல் செயல்பாடுகள் பிரதான தொகுதியிலும் காணப்பட்டன.
பகுப்பாய்வு செய்யப்பட்ட கோப்புகளில் பதிவிறக்குபவர்கள் கண்டறியப்பட்டனர் njRat, ஸ்பைகேட் மற்றும் பிற எலிகள்.
கீலாக்கர்
பதிவு அனுப்பும் காலம்: 30 நிமிடங்கள்.
அனைத்து கதாபாத்திரங்களும் ஆதரிக்கப்படுகின்றன. சிறப்பு எழுத்துக்கள் தப்பிக்கப்படுகின்றன. BackSpace மற்றும் Delete விசைகளுக்கான செயலாக்கம் உள்ளது. கேஸ் சென்சிட்டிவ்.
கிளிப்போர்டு லாக்கர்
பதிவு அனுப்பும் காலம்: 30 நிமிடங்கள்.
இடையக வாக்குப்பதிவு காலம்: 0,1 வினாடிகள்.
செயல்படுத்தப்பட்ட இணைப்பு எஸ்கேப்பிங்.
ஸ்கிரீன்லாக்கர்
பதிவு அனுப்பும் காலம்: 60 நிமிடங்கள்.
ஸ்கிரீன்ஷாட்கள் சேமிக்கப்படும் %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
கோப்புறையை அனுப்பிய பிறகு 404k அகற்றப்படுகிறது.
கடவுச்சொல் திருடுபவர்
| உலாவிகளில் | அஞ்சல் வாடிக்கையாளர்கள் | FTP கிளையண்டுகள் |
|---|---|---|
| குரோம் | அவுட்லுக் | FileZilla |
| Firefox | தண்டர்பேர்ட் | |
| ஐ | ஃபாக்ஸ்மெயில் | |
| ஐஸ் டிராகன் | ||
| பேல்மூன் | ||
| சைபர்ஃபாக்ஸ் | ||
| குரோம் | ||
| பிரேவ் பிரவுசர் | ||
| QQ உலாவி | ||
| இரிடியம் உலாவி | ||
| XvastBrowser | ||
| செடாட் | ||
| 360 உலாவி | ||
| கொமோடோ டிராகன் | ||
| 360 குரோம் | ||
| சூப்பர்பேர்ட் | ||
| சென்ட் பிரவுசர் | ||
| கோஸ்ட் பிரவுசர் | ||
| இரும்பு உலாவி | ||
| குரோமியம் | ||
| விவால்டி | ||
| ஸ்லிம்ஜெட் உலாவி | ||
| ஆர்பிட்டம் | ||
| கோகோக் | ||
| ஜோதி | ||
| யூசி உலாவி | ||
| காவிய உலாவி | ||
| BliskBrowser | ||
| Opera |
டைனமிக் பகுப்பாய்விற்கு எதிர்ப்பு
- ஒரு செயல்முறை பகுப்பாய்வில் உள்ளதா என்பதைச் சரிபார்க்கிறது
செயல்முறை தேடலைப் பயன்படுத்தி மேற்கொள்ளப்படுகிறது பணி எம்ஜிஆர், ProcessHacker, procexp64, செயல்முறை, procmon. குறைந்தபட்சம் ஒன்று கண்டுபிடிக்கப்பட்டால், தீம்பொருள் வெளியேறும்.
- நீங்கள் மெய்நிகர் சூழலில் இருக்கிறீர்களா என்பதைச் சரிபார்க்கிறது
செயல்முறை தேடலைப் பயன்படுத்தி மேற்கொள்ளப்படுகிறது vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. குறைந்தபட்சம் ஒன்று கண்டுபிடிக்கப்பட்டால், தீம்பொருள் வெளியேறும்.
- 5 வினாடிகள் தூங்குவது
- பல்வேறு வகையான உரையாடல் பெட்டிகளின் ஆர்ப்பாட்டம்
சில சாண்ட்பாக்ஸைத் தவிர்க்கப் பயன்படுத்தலாம்.
- UAC பைபாஸ்
பதிவு விசையைத் திருத்துவதன் மூலம் நிகழ்த்தப்பட்டது EnableLUA குழு கொள்கை அமைப்புகளில்.
- தற்போதைய கோப்பில் "மறைக்கப்பட்ட" பண்புக்கூறைப் பயன்படுத்துகிறது.
- தற்போதைய கோப்பை நீக்கும் திறன்.
செயலற்ற அம்சங்கள்
துவக்க ஏற்றி மற்றும் பிரதான தொகுதியின் பகுப்பாய்வின் போது, கூடுதல் செயல்பாட்டிற்கு பொறுப்பான செயல்பாடுகள் கண்டறியப்பட்டன, ஆனால் அவை எங்கும் பயன்படுத்தப்படவில்லை. தீம்பொருள் இன்னும் வளர்ச்சியில் இருப்பதாலும், செயல்பாடு விரைவில் விரிவாக்கப்படும் என்பதாலும் இது இருக்கலாம்.
லோடர் AtProtect
செயல்முறையில் ஏற்றுவதற்கும் உட்செலுத்துவதற்கும் பொறுப்பான ஒரு செயல்பாடு கண்டறியப்பட்டது msiexec.exe தன்னிச்சையான தொகுதி.
டேட்டா ஸ்டீலர்
- அமைப்பில் ஒருங்கிணைப்பு
- டிகம்ப்ரஷன் மற்றும் டிக்ரிப்ஷன் செயல்பாடுகள்
நெட்வொர்க் தகவல்தொடர்புகளின் போது தரவு குறியாக்கம் விரைவில் செயல்படுத்தப்படும். - வைரஸ் தடுப்பு செயல்முறைகளை நிறுத்துதல்
| வாடிக்கையாளர் | Dvp95_0 | பாவ்செட் | சராசரி சேவை9 |
| egui | எசின்ஜின் | பவ்வ் | avgserv9schedapp |
| bdagent | Esafe | பிசியோமன் | சராசரி |
| npfmsg | எஸ்ப்வாட்ச் | PCCMAIN | ashwebsv |
| ஒலிடிபிஜி | F-Agnt95 | Pccwin98 | ashdisp |
| Anubis | Findvir | Pcfwallicon | ashmaisv |
| வயர்ஷார்க் | Fprot | Persfw | ashserv |
| அவஸ்துய் | எஃப்-புரோட் | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-வின் | ரவ் 7 | நார்டன் |
| mbam | Frw | ரவ்7வின் | நார்டன் ஆட்டோ-பாதுகாப்பு |
| கீஸ்க்ராம்ப்ளர் | F-Stopw | மீட்பு | நார்டன்_ஏவி |
| _Avpcc | Iamapp | சேஃப்வெப் | நார்டோனாவ் |
| _Avpm | Iamserv | ஸ்கேன் 32 | ccsetmgr |
| அக்வின்32 | இப்மாஸ்ன் | ஸ்கேன் 95 | ccevtmgr |
| அவுட் போஸ்டில் | Ibmavsp | ஸ்கேன்பிஎம் | அவட்மின் |
| ட்ரோஜன் எதிர்ப்பு | Icload95 | Scrscan | avcenter |
| AntiVir | Icloadnt | சேவை95 | சராசரி |
| Apvxdwin | ஐக்மான் | SMC | avguard |
| தாக்குதல் | Icsupp95 | SMCSERVICE | avnotify |
| ஆட்டோ டவுன் | Icsuppnt | வெறுப்புக் காண்பிக்கும் வகையில் சீற்றொலி உண்டாக்கு | avscan |
| அவ்கான்சோல் | ஐஃபேஸ் | ஸ்ஃபிண்க்ஸ் | காவலாளி |
| Ave32 | Iomon98 | ஸ்வீப்95 | nod32krn |
| சராசரி | ஜெடி | சிம்ப்ராக்ஸிஎஸ்விசி | nod32kui |
| அவ்க்செர்வ் | லாக்டவுன் 2000 | Tbscan | கிளாம்ஸ்கான் |
| Avnt | கவனிக்க | Tca | clamTray |
| Avp | லுவால் | Tds2-98 | clamWin |
| Avp32 | மெக்காஃபி | Tds2-Nt | freshclam |
| ஏவிபிசிசி | மூலிவ் | டெர்மிநெட் | ஒலாடின் |
| Avpdos32 | MPftray | Vet95 | சிக்டூல் |
| ஏவிபிஎம் | N32scanw | வெட்ரே | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | அருகில் |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| அவ்செட்32 | NAVLU32 | விஷ்வின்32 | alogserv |
| AVSYNMGR | நவ்ன்ட் | Vsstat | mcshield |
| அவ்வின்95 | NAVRUNR | வெப்ஸ்கான்எக்ஸ் | vshwin32 |
| Avwupd32 | Navw32 | வெப்ட்ராப் | avconsol |
| கருப்பு | நவ்வண்ட் | Wfindv32 | vsstat |
| கருப்பு பனி | நியோவாட்ச் | மண்டல எச்சரிக்கை | avsynmgr |
| Cfiadmin | NISSERV | லாக்டவுன் 2000 | ஏவிசிஎம்டி |
| Cfiaudit | நிசும் | மீட்பு32 | avconfig |
| Cfinet | என்மைன் | லுகோம்சர்வர் | licmgr |
| Cfinet32 | நார்மிஸ்ட் | சராசரி | திட்டமிடப்பட்டது |
| நகம்95 | நார்டன் | சராசரி | preupd |
| Claw95cf | மேம்படுத்தல் | avgamsvr | MsMpEng |
| தூய்மையான | Nvc95 | avgupsvc | MSASCui |
| சுத்தம் செய்பவர்3 | அவுட் போஸ்டில் | சராசரி | அவிரா.சிஸ்ட்ரே |
| டிஃப்வாட்ச் | பத்மினி | சராசரி 32 | |
| Dvp95 | Pavcl | சராசரி சேவை |
- சுய அழிவு
- குறிப்பிட்ட ஆதார மேனிஃபெஸ்டிலிருந்து தரவை ஏற்றுகிறது
- பாதையில் ஒரு கோப்பை நகலெடுக்கிறது %Temp%tmpG[தற்போதைய தேதி மற்றும் நேரம் மில்லி விநாடிகளில்].tmp
சுவாரஸ்யமாக, AgentTesla மால்வேரில் ஒரே மாதிரியான செயல்பாடு உள்ளது. - புழு செயல்பாடு
தீம்பொருள் நீக்கக்கூடிய ஊடகங்களின் பட்டியலைப் பெறுகிறது. தீம்பொருளின் நகல் மீடியா கோப்பு முறைமையின் மூலத்தில் பெயருடன் உருவாக்கப்பட்டது Sys.exe. ஒரு கோப்பைப் பயன்படுத்தி ஆட்டோரன் செயல்படுத்தப்படுகிறது autorun.inf.
தாக்குபவர் சுயவிவரம்
கட்டளை மையத்தின் பகுப்பாய்வின் போது, டெவலப்பரின் மின்னஞ்சல் மற்றும் புனைப்பெயரை நிறுவ முடிந்தது - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 கோடர். அடுத்து, பில்டருடன் இணைந்து செயல்படுவதை நிரூபிக்கும் சுவாரஸ்யமான வீடியோவை YouTube இல் கண்டோம்.
இதன் மூலம் அசல் டெவலப்பர் சேனலைக் கண்டறிய முடிந்தது.
கிரிப்டோகிராஃபர்களை எழுதுவதில் அவருக்கு அனுபவம் இருந்தது என்பது தெளிவாகியது. சமூக வலைப்பின்னல்களில் உள்ள பக்கங்களுக்கான இணைப்புகள் மற்றும் ஆசிரியரின் உண்மையான பெயரும் உள்ளன. அவர் ஈராக்கில் வசிப்பவர் என்பது தெரியவந்தது.
404 கீலாக்கர் டெவலப்பர் இப்படித்தான் தெரிகிறது. அவரது தனிப்பட்ட முகநூலில் இருந்து புகைப்படம்.
CERT குரூப்-IB ஒரு புதிய அச்சுறுத்தலை அறிவித்துள்ளது - 404 கீலாக்கர் - பஹ்ரைனில் இணைய அச்சுறுத்தல்களுக்கான (SOC) XNUMX மணிநேர கண்காணிப்பு மற்றும் பதில் மையம்.
ஆதாரம்: www.habr.com