ఇటీవలి సంవత్సరాలలో, మొబైల్ ట్రోజన్లు వ్యక్తిగత కంప్యూటర్ల కోసం ట్రోజన్లను చురుకుగా భర్తీ చేస్తున్నాయి, కాబట్టి మంచి పాత “కార్ల” కోసం కొత్త మాల్వేర్ ఆవిర్భావం మరియు సైబర్ నేరగాళ్లచే వాటి క్రియాశీల ఉపయోగం అసహ్యకరమైనప్పటికీ, ఇప్పటికీ ఒక సంఘటన. ఇటీవల, CERT గ్రూప్-IB యొక్క 24/7 సమాచార భద్రతా సంఘటన ప్రతిస్పందన కేంద్రం కీలాగర్ మరియు పాస్వర్డ్స్టీలర్ ఫంక్షన్లను మిళితం చేసే కొత్త PC మాల్వేర్ను దాచిపెడుతున్న అసాధారణ ఫిషింగ్ ఇమెయిల్ను గుర్తించింది. ప్రముఖ వాయిస్ మెసెంజర్ని ఉపయోగించి - వినియోగదారు మెషీన్లోకి స్పైవేర్ ఎలా వచ్చిందనే దానిపై విశ్లేషకుల దృష్టిని ఆకర్షించారు. ఇలియా పోమెరంట్సేవ్, CERT గ్రూప్-IBలోని మాల్వేర్ విశ్లేషణ నిపుణుడు, మాల్వేర్ ఎలా పనిచేస్తుందో, అది ఎందుకు ప్రమాదకరమో వివరించింది మరియు సుదూర ఇరాక్లో దాని సృష్టికర్తను కూడా కనుగొన్నారు.
కాబట్టి, క్రమంలో వెళ్దాం. అటాచ్మెంట్ ముసుగులో, అటువంటి లేఖలో ఒక చిత్రాన్ని కలిగి ఉంది, దానిపై క్లిక్ చేయడం ద్వారా వినియోగదారుని సైట్కు తీసుకెళ్లారు. cdn.discordapp.com, మరియు అక్కడ నుండి ఒక హానికరమైన ఫైల్ డౌన్లోడ్ చేయబడింది.
ఉచిత వాయిస్ మరియు టెక్స్ట్ మెసెంజర్ అయిన డిస్కార్డ్ని ఉపయోగించడం చాలా అసాధారణమైనది. సాధారణంగా, ఇతర ఇన్స్టంట్ మెసెంజర్లు లేదా సోషల్ నెట్వర్క్లు ఈ ప్రయోజనాల కోసం ఉపయోగించబడతాయి.
మరింత వివరణాత్మక విశ్లేషణ సమయంలో, మాల్వేర్ కుటుంబం గుర్తించబడింది. ఇది మాల్వేర్ మార్కెట్కి కొత్తగా వచ్చినది - 404 కీలాగర్.
కీలాగర్ విక్రయానికి సంబంధించిన మొదటి ప్రకటన పోస్ట్ చేయబడింది హ్యాక్ఫోరమ్లు ఆగస్ట్ 404న "8 కోడర్" అనే మారుపేరుతో యూజర్ ద్వారా.
స్టోర్ డొమైన్ ఇటీవల రిజిస్టర్ చేయబడింది - సెప్టెంబర్ 7, 2019న.
డెవలపర్లు వెబ్సైట్లో చెప్పినట్లు 404ప్రాజెక్ట్లు[.]xyz, 404 తమ కస్టమర్ల కార్యకలాపాల గురించి (వారి అనుమతితో) లేదా రివర్స్ ఇంజినీరింగ్ నుండి తమ బైనరీని రక్షించాలనుకునే వారి కోసం కంపెనీలకు సహాయం చేయడానికి రూపొందించబడిన సాధనం. ముందుచూపు, చివరి టాస్క్తో చెప్పుకుందాం 404 ఖచ్చితంగా భరించలేదు.
మేము ఫైల్లలో ఒకదానిని రివర్స్ చేయాలని మరియు "బెస్ట్ స్మార్ట్ కీలాగర్" అంటే ఏమిటో తనిఖీ చేయాలని నిర్ణయించుకున్నాము.
మాల్వేర్ పర్యావరణ వ్యవస్థ
లోడర్ 1 (అటిల్లాక్రిప్టర్)
సోర్స్ ఫైల్ ఉపయోగించి రక్షించబడింది EaxObfuscator మరియు రెండు-దశల లోడింగ్ను నిర్వహిస్తుంది రక్షణ వనరుల విభాగం నుండి. VirusTotalలో కనుగొనబడిన ఇతర నమూనాల విశ్లేషణ సమయంలో, ఈ దశ డెవలపర్ స్వయంగా అందించలేదని, అతని క్లయింట్చే జోడించబడిందని స్పష్టమైంది. ఈ బూట్లోడర్ AtillaCrypter అని తరువాత నిర్ధారించబడింది.
బూట్లోడర్ 2 (AtProtect)
వాస్తవానికి, ఈ లోడర్ మాల్వేర్ యొక్క అంతర్భాగం మరియు డెవలపర్ ఉద్దేశం ప్రకారం, కౌంటర్ విశ్లేషణ యొక్క కార్యాచరణను తీసుకోవాలి.
అయితే, ఆచరణలో, రక్షణ విధానాలు చాలా ప్రాచీనమైనవి మరియు మా సిస్టమ్లు ఈ మాల్వేర్ను విజయవంతంగా గుర్తించాయి.
ప్రధాన మాడ్యూల్ ఉపయోగించి లోడ్ చేయబడింది ఫ్రాంచీ షెల్కోడ్ వివిధ వెర్షన్లు. అయినప్పటికీ, ఇతర ఎంపికలు ఉపయోగించబడవచ్చని మేము మినహాయించము, ఉదాహరణకు, RunPE.
కాన్ఫిగరేషన్ ఫైల్
వ్యవస్థలో ఏకీకరణ
సిస్టమ్లో ఏకీకరణ బూట్లోడర్ ద్వారా నిర్ధారిస్తుంది రక్షణ, సంబంధిత ఫ్లాగ్ సెట్ చేయబడితే.
- ఫైల్ మార్గం వెంట కాపీ చేయబడింది %AppData%GFqaakZpzwm.exe.
- ఫైల్ సృష్టించబడింది %AppData%GFqaakWinDriv.url, ప్రారంభించడం Zpzwm.exe.
- థ్రెడ్ లో HKCUSoftwareMicrosoftWindowsCurrentVersionRun స్టార్టప్ కీ సృష్టించబడుతుంది WinDriv.url.
C&Cతో పరస్పర చర్య
లోడర్ AtProtect
తగిన ఫ్లాగ్ ఉన్నట్లయితే, మాల్వేర్ దాచిన ప్రక్రియను ప్రారంభించవచ్చు iexplorer మరియు విజయవంతమైన ఇన్ఫెక్షన్ గురించి సర్వర్కు తెలియజేయడానికి పేర్కొన్న లింక్ని అనుసరించండి.
డేటా స్టీలర్
ఉపయోగించిన పద్ధతితో సంబంధం లేకుండా, వనరును ఉపయోగించి బాధితుడి బాహ్య IPని పొందడం ద్వారా నెట్వర్క్ కమ్యూనికేషన్ ప్రారంభమవుతుంది [http]://checkip[.]dyndns[.]org/.
వినియోగదారు-ఏజెంట్: Mozilla/4.0 (అనుకూలమైనది; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
సందేశం యొక్క సాధారణ నిర్మాణం అదే. శీర్షిక ఉంది
|——- 404 కీలాగర్ — {రకం} ——-|పేరు {రకం} ప్రసారం చేయబడిన సమాచార రకానికి అనుగుణంగా ఉంటుంది.
సిస్టమ్ గురించిన సమాచారం క్రిందిది:
_______ + బాధితుల సమాచారం + _______
IP: {బాహ్య IP}
యజమాని పేరు: {కంప్యూటర్ పేరు}
OS పేరు: {OS పేరు}
OS వెర్షన్: {OS వెర్షన్}
OS ప్లాట్ఫారమ్: {ప్లాట్ఫారమ్}
RAM పరిమాణం: {RAM పరిమాణం}
______________________________
చివరకు, ప్రసారం చేయబడిన డేటా.
SMTP
లేఖ యొక్క విషయం క్రింది విధంగా ఉంది: 404 K | {సందేశ రకం} | క్లయింట్ పేరు: {Username}.
ఆసక్తికరంగా, క్లయింట్కు లేఖలను బట్వాడా చేయడం 404 కీలాగర్ డెవలపర్ల SMTP సర్వర్ ఉపయోగించబడుతుంది.
ఇది కొంతమంది క్లయింట్లను, అలాగే డెవలపర్లలో ఒకరి ఇమెయిల్ను గుర్తించడం సాధ్యం చేసింది.
FTP
ఈ పద్ధతిని ఉపయోగిస్తున్నప్పుడు, సేకరించిన సమాచారం ఫైల్లో సేవ్ చేయబడుతుంది మరియు వెంటనే అక్కడ నుండి చదవబడుతుంది.
ఈ చర్య వెనుక ఉన్న తర్కం పూర్తిగా స్పష్టంగా లేదు, కానీ ఇది ప్రవర్తనా నియమాలను వ్రాయడానికి అదనపు కళాకృతిని సృష్టిస్తుంది.
%HOMEDRIVE%%HOMEPATH%పత్రాలుA{అనియత సంఖ్య}.txt
Pastebin
విశ్లేషణ సమయంలో, ఈ పద్ధతి దొంగిలించబడిన పాస్వర్డ్లను బదిలీ చేయడానికి మాత్రమే ఉపయోగించబడుతుంది. అంతేకాకుండా, ఇది మొదటి రెండింటికి ప్రత్యామ్నాయంగా కాకుండా, సమాంతరంగా ఉపయోగించబడుతుంది. పరిస్థితి "వావా"కి సమానమైన స్థిరాంకం యొక్క విలువ. బహుశా ఇది క్లయింట్ పేరు.
API ద్వారా https ప్రోటోకాల్ ద్వారా పరస్పర చర్య జరుగుతుంది పేస్ట్బిన్. అర్థం api_పేస్ట్_ప్రైవేట్ అంతే PASTE_UNLISTED, అటువంటి పేజీల కోసం శోధించడాన్ని ఇది నిషేధిస్తుంది పేస్ట్బిన్.
ఎన్క్రిప్షన్ అల్గోరిథంలు
వనరుల నుండి ఫైల్ను తిరిగి పొందడం
పేలోడ్ బూట్లోడర్ వనరులలో నిల్వ చేయబడుతుంది రక్షణ బిట్మ్యాప్ చిత్రాల రూపంలో. వెలికితీత అనేక దశల్లో జరుగుతుంది:
- చిత్రం నుండి బైట్ల శ్రేణి సంగ్రహించబడింది. ప్రతి పిక్సెల్ BGR క్రమంలో 3 బైట్ల క్రమం వలె పరిగణించబడుతుంది. వెలికితీసిన తర్వాత, శ్రేణి యొక్క మొదటి 4 బైట్లు సందేశం యొక్క పొడవును నిల్వ చేస్తాయి, తదుపరివి సందేశాన్ని నిల్వ చేస్తాయి.
- కీ లెక్కించబడుతుంది. దీన్ని చేయడానికి, పాస్వర్డ్గా పేర్కొన్న “ZpzwmjMJyfTNiRalKVrcSkxCN” విలువ నుండి MD5 లెక్కించబడుతుంది. ఫలితంగా హాష్ రెండుసార్లు వ్రాయబడింది.
- ECB మోడ్లో AES అల్గోరిథం ఉపయోగించి డిక్రిప్షన్ నిర్వహించబడుతుంది.
హానికరమైన కార్యాచరణ
Downloader
బూట్లోడర్లో అమలు చేయబడింది రక్షణ.
- సంప్రదించడం ద్వారా [యాక్టివ్లింక్-రీపాల్స్] ఫైల్ను అందించడానికి సిద్ధంగా ఉందని నిర్ధారించడానికి సర్వర్ స్థితిని అభ్యర్థించారు. సర్వర్ తిరిగి రావాలి "పై".
- లింక్ [డౌన్లోడ్ లింక్-భర్తీ] పేలోడ్ డౌన్లోడ్ చేయబడింది.
- సహాయంతో FranchyShellcode పేలోడ్ ప్రక్రియలో ఇంజెక్ట్ చేయబడుతుంది [ఇంజ-రీప్లేస్].
డొమైన్ విశ్లేషణ సమయంలో 404ప్రాజెక్ట్లు[.]xyz VirusTotalలో అదనపు సందర్భాలు గుర్తించబడ్డాయి 404 కీలాగర్, అలాగే అనేక రకాల లోడర్లు.
సాంప్రదాయకంగా, అవి రెండు రకాలుగా విభజించబడ్డాయి:
- డౌన్లోడ్ వనరు నుండి నిర్వహించబడుతుంది 404ప్రాజెక్ట్లు[.]xyz.
డేటా Base64 ఎన్కోడ్ చేయబడింది మరియు AES ఎన్క్రిప్ట్ చేయబడింది. - ఈ ఐచ్ఛికం అనేక దశలను కలిగి ఉంటుంది మరియు బూట్లోడర్తో కలిసి ఉపయోగించబడుతుంది రక్షణ.
- మొదటి దశలో, డేటా లోడ్ చేయబడింది పేస్ట్బిన్ మరియు ఫంక్షన్ ఉపయోగించి డీకోడ్ చేయబడింది HexToByte.
- రెండవ దశలో, లోడ్ యొక్క మూలం 404ప్రాజెక్ట్లు[.]xyz. అయినప్పటికీ, డీకంప్రెషన్ మరియు డీకోడింగ్ ఫంక్షన్లు DataStealerలో కనిపించే వాటికి సమానంగా ఉంటాయి. ఇది బహుశా మెయిన్ మాడ్యూల్లో బూట్లోడర్ ఫంక్షనాలిటీని అమలు చేయడానికి మొదట ప్రణాళిక చేయబడింది.
- ఈ దశలో, పేలోడ్ ఇప్పటికే కంప్రెస్డ్ రూపంలో రిసోర్స్ మానిఫెస్ట్లో ఉంది. ప్రధాన మాడ్యూల్లో కూడా ఇలాంటి వెలికితీత విధులు కనుగొనబడ్డాయి.
విశ్లేషించబడిన ఫైల్లలో డౌన్లోడ్ చేసేవారు కనుగొనబడ్డారు njRat, స్పైగేట్ మరియు ఇతర RATలు.
కీలాగర్
లాగ్ పంపే వ్యవధి: 30 నిమిషాలు.
అన్ని పాత్రలకు మద్దతు ఉంది. ప్రత్యేక పాత్రలు తప్పించుకున్నాయి. బ్యాక్స్పేస్ మరియు డిలీట్ కీల కోసం ప్రాసెసింగ్ ఉంది. కేస్ సెన్సిటివ్.
క్లిప్బోర్డ్లాగర్
లాగ్ పంపే వ్యవధి: 30 నిమిషాలు.
బఫర్ పోలింగ్ వ్యవధి: 0,1 సెకన్లు.
అమలు చేయబడిన లింక్ ఎస్కేపింగ్.
స్క్రీన్లాగర్
లాగ్ పంపే వ్యవధి: 60 నిమిషాలు.
స్క్రీన్షాట్లు సేవ్ చేయబడ్డాయి %హోమ్డ్రైవ్%%హోమ్పాత్%పత్రాలు404k404pic.png.
ఫోల్డర్ పంపిన తర్వాత 404k తొలగించబడింది.
పాస్వర్డ్ స్టీలర్
బ్రౌజర్లు | మెయిల్ క్లయింట్లు | FTP క్లయింట్లు |
---|---|---|
క్రోమ్ | ఔట్లుక్ | FileZilla |
ఫైర్ఫాక్స్ | థండర్బర్డ్ | |
చెయ్యి | ఫాక్స్ మెయిల్ | |
ఐస్డ్రాగన్ | ||
పాలెమూన్ | ||
సైబర్ఫాక్స్ | ||
క్రోమ్ | ||
బ్రేవ్ బ్రౌజర్ | ||
QQBrowser | ||
ఇరిడియం బ్రౌజర్ | ||
XvastBrowser | ||
చెడోట్ | ||
360 బ్రౌజర్ | ||
కొమోడోడ్రాగన్ | ||
360 క్రోమ్ | ||
సూపర్ బర్డ్ | ||
CentBrowser | ||
ఘోస్ట్ బ్రౌజర్ | ||
ఐరన్ బ్రౌజర్ | ||
క్రోమియం | ||
వివాల్డి | ||
SlimjetBrowser | ||
కక్ష్య | ||
కోకోక్ | ||
టార్చ్ | ||
UCB బ్రౌజర్ | ||
ఎపిక్ బ్రౌజర్ | ||
BliskBrowser | ||
ఒపేరా |
డైనమిక్ విశ్లేషణకు ప్రతిఘటన
- ప్రక్రియ విశ్లేషణలో ఉందో లేదో తనిఖీ చేస్తోంది
ప్రక్రియ శోధనను ఉపయోగించి నిర్వహించబడింది టాస్క్ఎంజిఆర్, ప్రాసెస్ హ్యాకర్, procexp64, ప్రాసెక్స్, ప్రోక్మోన్. కనీసం ఒకటి కనుగొనబడితే, మాల్వేర్ నిష్క్రమిస్తుంది.
- మీరు వర్చువల్ వాతావరణంలో ఉన్నారో లేదో తనిఖీ చేస్తోంది
ప్రక్రియ శోధనను ఉపయోగించి నిర్వహించబడింది vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. కనీసం ఒకటి కనుగొనబడితే, మాల్వేర్ నిష్క్రమిస్తుంది.
- 5 సెకన్ల పాటు నిద్రపోవడం
- వివిధ రకాల డైలాగ్ బాక్స్ల ప్రదర్శన
కొన్ని శాండ్బాక్స్లను దాటవేయడానికి ఉపయోగించవచ్చు.
- UACని దాటవేయండి
రిజిస్ట్రీ కీని సవరించడం ద్వారా నిర్వహించబడుతుంది EnableLUA గ్రూప్ పాలసీ సెట్టింగ్లలో.
- ప్రస్తుత ఫైల్కు "దాచిన" లక్షణాన్ని వర్తింపజేస్తుంది.
- ప్రస్తుత ఫైల్ను తొలగించగల సామర్థ్యం.
నిష్క్రియ లక్షణాలు
బూట్లోడర్ మరియు ప్రధాన మాడ్యూల్ యొక్క విశ్లేషణ సమయంలో, అదనపు కార్యాచరణకు బాధ్యత వహించే విధులు కనుగొనబడ్డాయి, కానీ అవి ఎక్కడా ఉపయోగించబడవు. మాల్వేర్ ఇంకా అభివృద్ధిలో ఉండటం మరియు కార్యాచరణ త్వరలో విస్తరించబడటం దీనికి కారణం కావచ్చు.
లోడర్ AtProtect
ప్రక్రియలో లోడ్ చేయడానికి మరియు ఇంజెక్ట్ చేయడానికి బాధ్యత వహించే ఒక ఫంక్షన్ కనుగొనబడింది msiexec.exe ఏకపక్ష మాడ్యూల్.
డేటా స్టీలర్
- వ్యవస్థలో ఏకీకరణ
- డికంప్రెషన్ మరియు డిక్రిప్షన్ విధులు
నెట్వర్క్ కమ్యూనికేషన్ సమయంలో డేటా ఎన్క్రిప్షన్ త్వరలో అమలు చేయబడే అవకాశం ఉంది. - యాంటీవైరస్ ప్రక్రియలను ముగించడం
క్లయింట్ | Dvp95_0 | పావ్షెడ్ | సగటు సర్వ్ 9 |
egui | ఇంజన్ | పావ్ | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | సగటు |
npfmsg | ఎస్ప్వాచ్ | PCCMAIN | ashwebsv |
Olydbg | F-Agnt95 | Pccwin98 | ashdisp |
అనుబిస్ | ఫైండ్విర్ | Pcfwallicon | ashmaisv |
wireshark | Fprot | Persfw | యాష్సర్వ్ |
అవస్తుయ్ | F-ప్రొటెక్షన్ | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-విన్ | RAV7 | నార్టన్ |
mbam | Frw | రావ్7విన్ | నార్టన్ ఆటో-ప్రొటెక్ట్ |
కీస్క్రాంబ్లర్ | F-Stopw | రెస్క్యూ | norton_av |
_Avpcc | Iamapp | సేఫ్వెబ్ | నార్టోనవ్ |
_Avpm | Iamserv | స్కాన్ 32 | ccsetmgr |
అక్విన్32 | ఇబ్మాస్న్ | స్కాన్ 95 | ccevtmgr |
అవుట్పోస్ట్ | Ibmavsp | Scanpm | అవాడ్మిన్ |
యాంటీ ట్రోజన్ | Icload95 | Scrscan | avcenter |
యాంటీవైర్ | Icloadnt | సర్వ్ 95 | సగటు |
Apvxdwin | Icmon | Smc | అవాస్తవిక |
ఒక దారి | Icsupp95 | SMCSERVICE | avnotify |
ఆటోడౌన్ | Icsuppnt | ఇంజను చేసే అదే రకం ధ్వని | avscan |
అవకాన్సోల్ | ఐఫేస్ | సింహిక | గార్డుగుయ్ |
అవే 32 | Iomon98 | స్వీప్95 | nod32krn |
సగటు | జెడి | SYMPROXYSVC | nod32kui |
అవ్క్సర్వ్ | లాక్ డౌన్ 2000 | Tbscan | క్లామ్స్కాన్ |
Avnt | లుకౌట్ | Tca | clamTray |
Avp | లువల్ | Tds2-98 | clamWin |
Avp32 | మెకాఫీ | Tds2-Nt | freshclam |
Avpcc | మూలివ్ | TermiNET | ఒలాద్దీన్ |
Avpdos32 | MPftray | Vet95 | సిగ్టూల్ |
Avpm | N32scanw | వెట్రే | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | దగ్గరగా |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
అవష్చెడ్32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | నవ్ంట్ | Vsstat | mcshield |
అవ్విన్95 | NAVRUNR | వెబ్స్కాన్క్స్ | vshwin32 |
Avwupd32 | Navw32 | వెబ్ట్రాప్ | avconsol |
నలుపు రంగు | నవ్వ్ంట్ | Wfindv32 | vsstat |
నల్ల మంచు | నియోవాచ్ | మండల హెచ్చరిక | avsynmgr |
Cfiadmin | NISSERV | లాక్ డౌన్ 2000 | avcmd |
Cfiaudit | నిసుమ్ | రెస్క్యూ32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | నార్మిస్ట్ | సగటు | షెడ్ |
పంజా95 | నార్టన్ | సగటు | preupd |
క్లా95cf | న్యూప్గ్రేడ్ | avgamsvr | MsMpEng |
క్లీనర్ | Nvc95 | avgupsvc | MSASCui |
క్లీనర్3 | అవుట్పోస్ట్ | సగటున | అవిరా.సిస్ట్రే |
డిఫ్వాచ్ | పద్మిన్ | సగటు 32 | |
Dvp95 | పావ్క్ల్ | సగటు సర్వ్ |
- స్వీయ విధ్వంసం
- పేర్కొన్న రిసోర్స్ మానిఫెస్ట్ నుండి డేటా లోడ్ అవుతోంది
- మార్గం వెంట ఫైల్ను కాపీ చేస్తోంది %Temp%tmpG[ప్రస్తుత తేదీ మరియు సమయం మిల్లీసెకన్లలో].tmp
ఆసక్తికరంగా, AgentTesla మాల్వేర్లో ఒకే విధమైన ఫంక్షన్ ఉంది. - వార్మ్ కార్యాచరణ
మాల్వేర్ తొలగించగల మీడియా జాబితాను అందుకుంటుంది. మాల్వేర్ యొక్క కాపీ మీడియా ఫైల్ సిస్టమ్ యొక్క రూట్లో పేరుతో సృష్టించబడుతుంది Sys.exe. ఆటోరన్ ఫైల్ ఉపయోగించి అమలు చేయబడుతుంది స్వతంచాలిత.
దాడి చేసే వ్యక్తి ప్రొఫైల్
కమాండ్ సెంటర్ యొక్క విశ్లేషణ సమయంలో, డెవలపర్ యొక్క ఇమెయిల్ మరియు మారుపేరును ఏర్పాటు చేయడం సాధ్యపడింది - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 కోడర్. తర్వాత, మేము YouTubeలో బిల్డర్తో కలిసి పనిచేయడాన్ని ప్రదర్శించే ఆసక్తికరమైన వీడియోను కనుగొన్నాము.
ఇది అసలు డెవలపర్ ఛానెల్ని కనుగొనడం సాధ్యం చేసింది.
క్రిప్టోగ్రాఫర్లను వ్రాయడంలో అతనికి అనుభవం ఉందని స్పష్టమైంది. సోషల్ నెట్వర్క్లలోని పేజీలకు లింక్లు, అలాగే రచయిత యొక్క అసలు పేరు కూడా ఉన్నాయి. అతను ఇరాక్ నివాసిగా తేలింది.
404 కీలాగర్ డెవలపర్ ఇలా కనిపిస్తుంది. అతని వ్యక్తిగత Facebook ప్రొఫైల్ నుండి ఫోటో.
CERT గ్రూప్-IB కొత్త ముప్పును ప్రకటించింది - 404 కీలాగర్ - బహ్రెయిన్లో సైబర్ బెదిరింపుల కోసం XNUMX గంటల పర్యవేక్షణ మరియు ప్రతిస్పందన కేంద్రం (SOC).
మూలం: www.habr.com