ఆశ్చర్యంతో కీలాగర్: కీలాగర్ యొక్క విశ్లేషణ మరియు దాని డెవలపర్ యొక్క డీనాన్

ఇటీవలి సంవత్సరాలలో, మొబైల్ ట్రోజన్‌లు వ్యక్తిగత కంప్యూటర్‌ల కోసం ట్రోజన్‌లను చురుకుగా భర్తీ చేస్తున్నాయి, కాబట్టి మంచి పాత “కార్ల” కోసం కొత్త మాల్వేర్ ఆవిర్భావం మరియు సైబర్ నేరగాళ్లచే వాటి క్రియాశీల ఉపయోగం అసహ్యకరమైనప్పటికీ, ఇప్పటికీ ఒక సంఘటన. ఇటీవల, CERT గ్రూప్-IB యొక్క 24/7 సమాచార భద్రతా సంఘటన ప్రతిస్పందన కేంద్రం కీలాగర్ మరియు పాస్‌వర్డ్‌స్టీలర్ ఫంక్షన్‌లను మిళితం చేసే కొత్త PC మాల్వేర్‌ను దాచిపెడుతున్న అసాధారణ ఫిషింగ్ ఇమెయిల్‌ను గుర్తించింది. ప్రముఖ వాయిస్ మెసెంజర్‌ని ఉపయోగించి - వినియోగదారు మెషీన్‌లోకి స్పైవేర్ ఎలా వచ్చిందనే దానిపై విశ్లేషకుల దృష్టిని ఆకర్షించారు. ఇలియా పోమెరంట్సేవ్, CERT గ్రూప్-IBలోని మాల్వేర్ విశ్లేషణ నిపుణుడు, మాల్వేర్ ఎలా పనిచేస్తుందో, అది ఎందుకు ప్రమాదకరమో వివరించింది మరియు సుదూర ఇరాక్‌లో దాని సృష్టికర్తను కూడా కనుగొన్నారు.

కాబట్టి, క్రమంలో వెళ్దాం. అటాచ్‌మెంట్ ముసుగులో, అటువంటి లేఖలో ఒక చిత్రాన్ని కలిగి ఉంది, దానిపై క్లిక్ చేయడం ద్వారా వినియోగదారుని సైట్‌కు తీసుకెళ్లారు. cdn.discordapp.com, మరియు అక్కడ నుండి ఒక హానికరమైన ఫైల్ డౌన్‌లోడ్ చేయబడింది.

ఉచిత వాయిస్ మరియు టెక్స్ట్ మెసెంజర్ అయిన డిస్కార్డ్‌ని ఉపయోగించడం చాలా అసాధారణమైనది. సాధారణంగా, ఇతర ఇన్‌స్టంట్ మెసెంజర్‌లు లేదా సోషల్ నెట్‌వర్క్‌లు ఈ ప్రయోజనాల కోసం ఉపయోగించబడతాయి.

మరింత వివరణాత్మక విశ్లేషణ సమయంలో, మాల్వేర్ కుటుంబం గుర్తించబడింది. ఇది మాల్వేర్ మార్కెట్‌కి కొత్తగా వచ్చినది - 404 కీలాగర్.

కీలాగర్ విక్రయానికి సంబంధించిన మొదటి ప్రకటన పోస్ట్ చేయబడింది హ్యాక్‌ఫోరమ్‌లు ఆగస్ట్ 404న "8 కోడర్" అనే మారుపేరుతో యూజర్ ద్వారా.

స్టోర్ డొమైన్ ఇటీవల రిజిస్టర్ చేయబడింది - సెప్టెంబర్ 7, 2019న.

డెవలపర్లు వెబ్‌సైట్‌లో చెప్పినట్లు 404ప్రాజెక్ట్‌లు[.]xyz, 404 తమ కస్టమర్ల కార్యకలాపాల గురించి (వారి అనుమతితో) లేదా రివర్స్ ఇంజినీరింగ్ నుండి తమ బైనరీని రక్షించాలనుకునే వారి కోసం కంపెనీలకు సహాయం చేయడానికి రూపొందించబడిన సాధనం. ముందుచూపు, చివరి టాస్క్‌తో చెప్పుకుందాం 404 ఖచ్చితంగా భరించలేదు.

మేము ఫైల్‌లలో ఒకదానిని రివర్స్ చేయాలని మరియు "బెస్ట్ స్మార్ట్ కీలాగర్" అంటే ఏమిటో తనిఖీ చేయాలని నిర్ణయించుకున్నాము.

మాల్వేర్ పర్యావరణ వ్యవస్థ

లోడర్ 1 (అటిల్లాక్రిప్టర్)

సోర్స్ ఫైల్ ఉపయోగించి రక్షించబడింది EaxObfuscator మరియు రెండు-దశల లోడింగ్‌ను నిర్వహిస్తుంది రక్షణ వనరుల విభాగం నుండి. VirusTotalలో కనుగొనబడిన ఇతర నమూనాల విశ్లేషణ సమయంలో, ఈ దశ డెవలపర్ స్వయంగా అందించలేదని, అతని క్లయింట్చే జోడించబడిందని స్పష్టమైంది. ఈ బూట్‌లోడర్ AtillaCrypter అని తరువాత నిర్ధారించబడింది.

బూట్‌లోడర్ 2 (AtProtect)

వాస్తవానికి, ఈ లోడర్ మాల్వేర్ యొక్క అంతర్భాగం మరియు డెవలపర్ ఉద్దేశం ప్రకారం, కౌంటర్ విశ్లేషణ యొక్క కార్యాచరణను తీసుకోవాలి.

అయితే, ఆచరణలో, రక్షణ విధానాలు చాలా ప్రాచీనమైనవి మరియు మా సిస్టమ్‌లు ఈ మాల్వేర్‌ను విజయవంతంగా గుర్తించాయి.

ప్రధాన మాడ్యూల్ ఉపయోగించి లోడ్ చేయబడింది ఫ్రాంచీ షెల్‌కోడ్ వివిధ వెర్షన్లు. అయినప్పటికీ, ఇతర ఎంపికలు ఉపయోగించబడవచ్చని మేము మినహాయించము, ఉదాహరణకు, RunPE.

కాన్ఫిగరేషన్ ఫైల్

వ్యవస్థలో ఏకీకరణ

సిస్టమ్‌లో ఏకీకరణ బూట్‌లోడర్ ద్వారా నిర్ధారిస్తుంది రక్షణ, సంబంధిత ఫ్లాగ్ సెట్ చేయబడితే.

• ఫైల్ మార్గం వెంట కాపీ చేయబడింది %AppData%GFqaakZpzwm.exe.
• ఫైల్ సృష్టించబడింది %AppData%GFqaakWinDriv.url, ప్రారంభించడం Zpzwm.exe.
• థ్రెడ్ లో HKCUSoftwareMicrosoftWindowsCurrentVersionRun స్టార్టప్ కీ సృష్టించబడుతుంది WinDriv.url.

C&Cతో పరస్పర చర్య

లోడర్ AtProtect

తగిన ఫ్లాగ్ ఉన్నట్లయితే, మాల్వేర్ దాచిన ప్రక్రియను ప్రారంభించవచ్చు iexplorer మరియు విజయవంతమైన ఇన్ఫెక్షన్ గురించి సర్వర్‌కు తెలియజేయడానికి పేర్కొన్న లింక్‌ని అనుసరించండి.

డేటా స్టీలర్

ఉపయోగించిన పద్ధతితో సంబంధం లేకుండా, వనరును ఉపయోగించి బాధితుడి బాహ్య IPని పొందడం ద్వారా నెట్‌వర్క్ కమ్యూనికేషన్ ప్రారంభమవుతుంది [http]://checkip[.]dyndns[.]org/.

వినియోగదారు-ఏజెంట్: Mozilla/4.0 (అనుకూలమైనది; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

సందేశం యొక్క సాధారణ నిర్మాణం అదే. శీర్షిక ఉంది
|——- 404 కీలాగర్ — {రకం} ——-|పేరు {రకం} ప్రసారం చేయబడిన సమాచార రకానికి అనుగుణంగా ఉంటుంది.
సిస్టమ్ గురించిన సమాచారం క్రిందిది:

_______ + బాధితుల సమాచారం + _______

IP: {బాహ్య IP}
యజమాని పేరు: {కంప్యూటర్ పేరు}
OS పేరు: {OS పేరు}
OS వెర్షన్: {OS వెర్షన్}
OS ప్లాట్‌ఫారమ్: {ప్లాట్‌ఫారమ్}
RAM పరిమాణం: {RAM పరిమాణం}
______________________________

చివరకు, ప్రసారం చేయబడిన డేటా.

SMTP

లేఖ యొక్క విషయం క్రింది విధంగా ఉంది: 404 K | {సందేశ రకం} | క్లయింట్ పేరు: {Username}.

ఆసక్తికరంగా, క్లయింట్‌కు లేఖలను బట్వాడా చేయడం 404 కీలాగర్ డెవలపర్‌ల SMTP సర్వర్ ఉపయోగించబడుతుంది.

ఇది కొంతమంది క్లయింట్‌లను, అలాగే డెవలపర్‌లలో ఒకరి ఇమెయిల్‌ను గుర్తించడం సాధ్యం చేసింది.

FTP

ఈ పద్ధతిని ఉపయోగిస్తున్నప్పుడు, సేకరించిన సమాచారం ఫైల్‌లో సేవ్ చేయబడుతుంది మరియు వెంటనే అక్కడ నుండి చదవబడుతుంది.

ఈ చర్య వెనుక ఉన్న తర్కం పూర్తిగా స్పష్టంగా లేదు, కానీ ఇది ప్రవర్తనా నియమాలను వ్రాయడానికి అదనపు కళాకృతిని సృష్టిస్తుంది.

%HOMEDRIVE%%HOMEPATH%పత్రాలుA{అనియత సంఖ్య}.txt

Pastebin

విశ్లేషణ సమయంలో, ఈ పద్ధతి దొంగిలించబడిన పాస్‌వర్డ్‌లను బదిలీ చేయడానికి మాత్రమే ఉపయోగించబడుతుంది. అంతేకాకుండా, ఇది మొదటి రెండింటికి ప్రత్యామ్నాయంగా కాకుండా, సమాంతరంగా ఉపయోగించబడుతుంది. పరిస్థితి "వావా"కి సమానమైన స్థిరాంకం యొక్క విలువ. బహుశా ఇది క్లయింట్ పేరు.

API ద్వారా https ప్రోటోకాల్ ద్వారా పరస్పర చర్య జరుగుతుంది పేస్ట్బిన్. అర్థం api_పేస్ట్_ప్రైవేట్ అంతే PASTE_UNLISTED, అటువంటి పేజీల కోసం శోధించడాన్ని ఇది నిషేధిస్తుంది పేస్ట్బిన్.

ఎన్క్రిప్షన్ అల్గోరిథంలు

వనరుల నుండి ఫైల్‌ను తిరిగి పొందడం

పేలోడ్ బూట్‌లోడర్ వనరులలో నిల్వ చేయబడుతుంది రక్షణ బిట్‌మ్యాప్ చిత్రాల రూపంలో. వెలికితీత అనేక దశల్లో జరుగుతుంది:

• చిత్రం నుండి బైట్‌ల శ్రేణి సంగ్రహించబడింది. ప్రతి పిక్సెల్ BGR క్రమంలో 3 బైట్‌ల క్రమం వలె పరిగణించబడుతుంది. వెలికితీసిన తర్వాత, శ్రేణి యొక్క మొదటి 4 బైట్‌లు సందేశం యొక్క పొడవును నిల్వ చేస్తాయి, తదుపరివి సందేశాన్ని నిల్వ చేస్తాయి.

  

• కీ లెక్కించబడుతుంది. దీన్ని చేయడానికి, పాస్‌వర్డ్‌గా పేర్కొన్న “ZpzwmjMJyfTNiRalKVrcSkxCN” విలువ నుండి MD5 లెక్కించబడుతుంది. ఫలితంగా హాష్ రెండుసార్లు వ్రాయబడింది.

  

• ECB మోడ్‌లో AES అల్గోరిథం ఉపయోగించి డిక్రిప్షన్ నిర్వహించబడుతుంది.

హానికరమైన కార్యాచరణ

Downloader

బూట్‌లోడర్‌లో అమలు చేయబడింది రక్షణ.

• సంప్రదించడం ద్వారా [యాక్టివ్‌లింక్-రీపాల్స్] ఫైల్‌ను అందించడానికి సిద్ధంగా ఉందని నిర్ధారించడానికి సర్వర్ స్థితిని అభ్యర్థించారు. సర్వర్ తిరిగి రావాలి "పై".
• లింక్ [డౌన్‌లోడ్ లింక్-భర్తీ] పేలోడ్ డౌన్‌లోడ్ చేయబడింది.
• సహాయంతో FranchyShellcode పేలోడ్ ప్రక్రియలో ఇంజెక్ట్ చేయబడుతుంది [ఇంజ-రీప్లేస్].

డొమైన్ విశ్లేషణ సమయంలో 404ప్రాజెక్ట్‌లు[.]xyz VirusTotalలో అదనపు సందర్భాలు గుర్తించబడ్డాయి 404 కీలాగర్, అలాగే అనేక రకాల లోడర్లు.

సాంప్రదాయకంగా, అవి రెండు రకాలుగా విభజించబడ్డాయి:

1. డౌన్‌లోడ్ వనరు నుండి నిర్వహించబడుతుంది 404ప్రాజెక్ట్‌లు[.]xyz.

   
   డేటా Base64 ఎన్‌కోడ్ చేయబడింది మరియు AES ఎన్‌క్రిప్ట్ చేయబడింది.

2. ఈ ఐచ్ఛికం అనేక దశలను కలిగి ఉంటుంది మరియు బూట్‌లోడర్‌తో కలిసి ఉపయోగించబడుతుంది రక్షణ.

• మొదటి దశలో, డేటా లోడ్ చేయబడింది పేస్ట్బిన్ మరియు ఫంక్షన్ ఉపయోగించి డీకోడ్ చేయబడింది HexToByte.

  

• రెండవ దశలో, లోడ్ యొక్క మూలం 404ప్రాజెక్ట్‌లు[.]xyz. అయినప్పటికీ, డీకంప్రెషన్ మరియు డీకోడింగ్ ఫంక్షన్‌లు DataStealerలో కనిపించే వాటికి సమానంగా ఉంటాయి. ఇది బహుశా మెయిన్ మాడ్యూల్‌లో బూట్‌లోడర్ ఫంక్షనాలిటీని అమలు చేయడానికి మొదట ప్రణాళిక చేయబడింది.

  

• ఈ దశలో, పేలోడ్ ఇప్పటికే కంప్రెస్డ్ రూపంలో రిసోర్స్ మానిఫెస్ట్‌లో ఉంది. ప్రధాన మాడ్యూల్‌లో కూడా ఇలాంటి వెలికితీత విధులు కనుగొనబడ్డాయి.

విశ్లేషించబడిన ఫైల్‌లలో డౌన్‌లోడ్ చేసేవారు కనుగొనబడ్డారు njRat, స్పైగేట్ మరియు ఇతర RATలు.

కీలాగర్

లాగ్ పంపే వ్యవధి: 30 నిమిషాలు.

అన్ని పాత్రలకు మద్దతు ఉంది. ప్రత్యేక పాత్రలు తప్పించుకున్నాయి. బ్యాక్‌స్పేస్ మరియు డిలీట్ కీల కోసం ప్రాసెసింగ్ ఉంది. కేస్ సెన్సిటివ్.

క్లిప్‌బోర్డ్‌లాగర్

లాగ్ పంపే వ్యవధి: 30 నిమిషాలు.

బఫర్ పోలింగ్ వ్యవధి: 0,1 సెకన్లు.

అమలు చేయబడిన లింక్ ఎస్కేపింగ్.

స్క్రీన్‌లాగర్

లాగ్ పంపే వ్యవధి: 60 నిమిషాలు.

స్క్రీన్‌షాట్‌లు సేవ్ చేయబడ్డాయి %హోమ్‌డ్రైవ్%%హోమ్‌పాత్%పత్రాలు404k404pic.png.

ఫోల్డర్ పంపిన తర్వాత 404k తొలగించబడింది.

పాస్వర్డ్ స్టీలర్

బ్రౌజర్లు	మెయిల్ క్లయింట్లు	FTP క్లయింట్లు
క్రోమ్	ఔట్లుక్	FileZilla
ఫైర్ఫాక్స్	థండర్బర్డ్
చెయ్యి	ఫాక్స్ మెయిల్
ఐస్‌డ్రాగన్
పాలెమూన్
సైబర్ఫాక్స్
క్రోమ్
బ్రేవ్ బ్రౌజర్
QQBrowser
ఇరిడియం బ్రౌజర్
XvastBrowser
చెడోట్
360 బ్రౌజర్
కొమోడోడ్రాగన్
360 క్రోమ్
సూపర్ బర్డ్
CentBrowser
ఘోస్ట్ బ్రౌజర్
ఐరన్ బ్రౌజర్
క్రోమియం
వివాల్డి
SlimjetBrowser
కక్ష్య
కోకోక్
టార్చ్
UCB బ్రౌజర్
ఎపిక్ బ్రౌజర్
BliskBrowser
ఒపేరా

డైనమిక్ విశ్లేషణకు ప్రతిఘటన

• ప్రక్రియ విశ్లేషణలో ఉందో లేదో తనిఖీ చేస్తోంది

  ప్రక్రియ శోధనను ఉపయోగించి నిర్వహించబడింది టాస్క్ఎంజిఆర్, ప్రాసెస్ హ్యాకర్, procexp64, ప్రాసెక్స్, ప్రోక్మోన్. కనీసం ఒకటి కనుగొనబడితే, మాల్వేర్ నిష్క్రమిస్తుంది.

• మీరు వర్చువల్ వాతావరణంలో ఉన్నారో లేదో తనిఖీ చేస్తోంది

  ప్రక్రియ శోధనను ఉపయోగించి నిర్వహించబడింది vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. కనీసం ఒకటి కనుగొనబడితే, మాల్వేర్ నిష్క్రమిస్తుంది.

• 5 సెకన్ల పాటు నిద్రపోవడం
• వివిధ రకాల డైలాగ్ బాక్స్‌ల ప్రదర్శన

  కొన్ని శాండ్‌బాక్స్‌లను దాటవేయడానికి ఉపయోగించవచ్చు.

• UACని దాటవేయండి

  రిజిస్ట్రీ కీని సవరించడం ద్వారా నిర్వహించబడుతుంది EnableLUA గ్రూప్ పాలసీ సెట్టింగ్‌లలో.

• ప్రస్తుత ఫైల్‌కు "దాచిన" లక్షణాన్ని వర్తింపజేస్తుంది.
• ప్రస్తుత ఫైల్‌ను తొలగించగల సామర్థ్యం.

నిష్క్రియ లక్షణాలు

బూట్‌లోడర్ మరియు ప్రధాన మాడ్యూల్ యొక్క విశ్లేషణ సమయంలో, అదనపు కార్యాచరణకు బాధ్యత వహించే విధులు కనుగొనబడ్డాయి, కానీ అవి ఎక్కడా ఉపయోగించబడవు. మాల్వేర్ ఇంకా అభివృద్ధిలో ఉండటం మరియు కార్యాచరణ త్వరలో విస్తరించబడటం దీనికి కారణం కావచ్చు.

లోడర్ AtProtect

ప్రక్రియలో లోడ్ చేయడానికి మరియు ఇంజెక్ట్ చేయడానికి బాధ్యత వహించే ఒక ఫంక్షన్ కనుగొనబడింది msiexec.exe ఏకపక్ష మాడ్యూల్.

డేటా స్టీలర్

• వ్యవస్థలో ఏకీకరణ

  

• డికంప్రెషన్ మరియు డిక్రిప్షన్ విధులు

  
  
  నెట్‌వర్క్ కమ్యూనికేషన్ సమయంలో డేటా ఎన్‌క్రిప్షన్ త్వరలో అమలు చేయబడే అవకాశం ఉంది.

• యాంటీవైరస్ ప్రక్రియలను ముగించడం

క్లయింట్	Dvp95_0	పావ్షెడ్	సగటు సర్వ్ 9
egui	ఇంజన్	పావ్	avgserv9schedapp
bdagent	Esafe	PCCIOMON	సగటు
npfmsg	ఎస్ప్వాచ్	PCCMAIN	ashwebsv
Olydbg	F-Agnt95	Pccwin98	ashdisp
అనుబిస్	ఫైండ్విర్	Pcfwallicon	ashmaisv
wireshark	Fprot	Persfw	యాష్సర్వ్
అవస్తుయ్	F-ప్రొటెక్షన్	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-విన్	RAV7	నార్టన్
mbam	Frw	రావ్7విన్	నార్టన్ ఆటో-ప్రొటెక్ట్
కీస్క్రాంబ్లర్	F-Stopw	రెస్క్యూ	norton_av
_Avpcc	Iamapp	సేఫ్‌వెబ్	నార్టోనవ్
_Avpm	Iamserv	స్కాన్ 32	ccsetmgr
అక్విన్32	ఇబ్మాస్న్	స్కాన్ 95	ccevtmgr
అవుట్పోస్ట్	Ibmavsp	Scanpm	అవాడ్మిన్
యాంటీ ట్రోజన్	Icload95	Scrscan	avcenter
యాంటీవైర్	Icloadnt	సర్వ్ 95	సగటు
Apvxdwin	Icmon	Smc	అవాస్తవిక
ఒక దారి	Icsupp95	SMCSERVICE	avnotify
ఆటోడౌన్	Icsuppnt	ఇంజను చేసే అదే రకం ధ్వని	avscan
అవకాన్సోల్	ఐఫేస్	సింహిక	గార్డుగుయ్
అవే 32	Iomon98	స్వీప్95	nod32krn
సగటు	జెడి	SYMPROXYSVC	nod32kui
అవ్క్సర్వ్	లాక్ డౌన్ 2000	Tbscan	క్లామ్స్కాన్
Avnt	లుకౌట్	Tca	clamTray
Avp	లువల్	Tds2-98	clamWin
Avp32	మెకాఫీ	Tds2-Nt	freshclam
Avpcc	మూలివ్	TermiNET	ఒలాద్దీన్
Avpdos32	MPftray	Vet95	సిగ్టూల్
Avpm	N32scanw	వెట్రే	w9xpopen
Avptc32	NAVAPSVC	Vscan40	దగ్గరగా
Avpupd	NAVAPW32	Vsecomr	cmgrdian
అవష్చెడ్32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	నవ్ంట్	Vsstat	mcshield
అవ్విన్95	NAVRUNR	వెబ్స్కాన్క్స్	vshwin32
Avwupd32	Navw32	వెబ్‌ట్రాప్	avconsol
నలుపు రంగు	నవ్వ్ంట్	Wfindv32	vsstat
నల్ల మంచు	నియోవాచ్	మండల హెచ్చరిక	avsynmgr
Cfiadmin	NISSERV	లాక్ డౌన్ 2000	avcmd
Cfiaudit	నిసుమ్	రెస్క్యూ32	avconfig
Cfinet	Nmain	LUCOMSERVER	licmgr
Cfinet32	నార్మిస్ట్	సగటు	షెడ్
పంజా95	నార్టన్	సగటు	preupd
క్లా95cf	న్యూప్‌గ్రేడ్	avgamsvr	MsMpEng
క్లీనర్	Nvc95	avgupsvc	MSASCui
క్లీనర్3	అవుట్పోస్ట్	సగటున	అవిరా.సిస్ట్రే
డిఫ్వాచ్	పద్మిన్	సగటు 32
Dvp95	పావ్క్ల్	సగటు సర్వ్

• స్వీయ విధ్వంసం
• పేర్కొన్న రిసోర్స్ మానిఫెస్ట్ నుండి డేటా లోడ్ అవుతోంది

  

• మార్గం వెంట ఫైల్‌ను కాపీ చేస్తోంది %Temp%tmpG[ప్రస్తుత తేదీ మరియు సమయం మిల్లీసెకన్లలో].tmp

  
  ఆసక్తికరంగా, AgentTesla మాల్వేర్‌లో ఒకే విధమైన ఫంక్షన్ ఉంది.

• వార్మ్ కార్యాచరణ

  మాల్వేర్ తొలగించగల మీడియా జాబితాను అందుకుంటుంది. మాల్వేర్ యొక్క కాపీ మీడియా ఫైల్ సిస్టమ్ యొక్క రూట్‌లో పేరుతో సృష్టించబడుతుంది Sys.exe. ఆటోరన్ ఫైల్ ఉపయోగించి అమలు చేయబడుతుంది స్వతంచాలిత.

  

దాడి చేసే వ్యక్తి ప్రొఫైల్

కమాండ్ సెంటర్ యొక్క విశ్లేషణ సమయంలో, డెవలపర్ యొక్క ఇమెయిల్ మరియు మారుపేరును ఏర్పాటు చేయడం సాధ్యపడింది - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 కోడర్. తర్వాత, మేము YouTubeలో బిల్డర్‌తో కలిసి పనిచేయడాన్ని ప్రదర్శించే ఆసక్తికరమైన వీడియోను కనుగొన్నాము.

ఇది అసలు డెవలపర్ ఛానెల్‌ని కనుగొనడం సాధ్యం చేసింది.

క్రిప్టోగ్రాఫర్‌లను వ్రాయడంలో అతనికి అనుభవం ఉందని స్పష్టమైంది. సోషల్ నెట్‌వర్క్‌లలోని పేజీలకు లింక్‌లు, అలాగే రచయిత యొక్క అసలు పేరు కూడా ఉన్నాయి. అతను ఇరాక్ నివాసిగా తేలింది.

404 కీలాగర్ డెవలపర్ ఇలా కనిపిస్తుంది. అతని వ్యక్తిగత Facebook ప్రొఫైల్ నుండి ఫోటో.

CERT గ్రూప్-IB కొత్త ముప్పును ప్రకటించింది - 404 కీలాగర్ - బహ్రెయిన్‌లో సైబర్ బెదిరింపుల కోసం XNUMX గంటల పర్యవేక్షణ మరియు ప్రతిస్పందన కేంద్రం (SOC).

మూలం: www.habr.com