Ni awọn ọdun aipẹ, awọn Trojans alagbeka ti n rọpo awọn Trojans fun awọn kọnputa ti ara ẹni, nitorinaa ifarahan ti malware tuntun fun “awọn ọkọ ayọkẹlẹ” atijọ ti o dara ati lilo ti nṣiṣe lọwọ nipasẹ cybercriminals, botilẹjẹpe ko dun, tun jẹ iṣẹlẹ kan. Laipẹ, CERT Group-IB's 24/7 ile-iṣẹ idahun iṣẹlẹ aabo alaye rii imeeli aṣiwadi dani ti o tọju malware PC tuntun kan ti o ṣajọpọ awọn iṣẹ ti Keylogger ati ỌrọigbaniwọleStealer. Ifarabalẹ awọn atunnkanka ni a fa si bii spyware ṣe wọ inu ẹrọ olumulo - ni lilo ojiṣẹ ohun olokiki kan. Ilya Pomerantsev, alamọja itupalẹ malware kan ni CERT Group-IB, ṣalaye bi malware ṣe n ṣiṣẹ, idi ti o fi lewu, ati paapaa rii ẹlẹda rẹ ni Iraaki jijinna.
Nitorina, jẹ ki a lọ ni ibere. Labẹ itanjẹ ti asomọ, iru lẹta kan ni aworan kan, nigbati o tẹ lori eyiti a mu olumulo lọ si aaye naa. cdn.discordapp.com, ati pe faili irira ti ṣe igbasilẹ lati ibẹ.
Lilo Discord, ohun ọfẹ ati ojiṣẹ ọrọ, jẹ aibikita pupọ. Ni deede, awọn ojiṣẹ lojukanna miiran tabi awọn nẹtiwọọki awujọ jẹ lilo fun awọn idi wọnyi.
Lakoko itupalẹ alaye diẹ sii, idile kan ti malware jẹ idanimọ. O wa jade lati jẹ tuntun si ọja malware - 404 Keylogger.
Ipolowo akọkọ fun tita keylogger ni a gbejade lori hackforums nipasẹ olumulo labẹ oruko apeso "404 Coder" ni Oṣu Kẹjọ ọjọ 8.
A forukọsilẹ agbegbe ile itaja laipẹ - ni Oṣu Kẹsan Ọjọ 7, Ọdun 2019.
Bi awọn Difelopa sọ lori oju opo wẹẹbu 404 ise agbese[.] xyz, 404 jẹ ọpa ti a ṣe lati ṣe iranlọwọ fun awọn ile-iṣẹ lati kọ ẹkọ nipa awọn iṣẹ alabara wọn (pẹlu igbanilaaye wọn) tabi fun awọn ti o fẹ lati daabobo alakomeji wọn lati imọ-ẹrọ iyipada. Wiwa iwaju, jẹ ki a sọ iyẹn pẹlu iṣẹ-ṣiṣe ti o kẹhin 404 pato ko bawa.
A pinnu lati yi ọkan ninu awọn faili pada ki o ṣayẹwo kini “BEST SMART KEYLOGGER” jẹ.
Malware ilolupo
Agberu 1 (AtillaCrypter)
Faili orisun jẹ aabo ni lilo EaxObfuscator ati ki o ṣe meji-igbese ikojọpọ Daabobo lati apakan oro. Lakoko itupalẹ awọn ayẹwo miiran ti a rii lori VirusTotal, o han gbangba pe ipele yii ko pese nipasẹ olupilẹṣẹ funrararẹ, ṣugbọn alabara rẹ ṣafikun. O ti pinnu nigbamii pe bootloader yii jẹ AtillaCrypter.
Bootloader 2 (AtProtect)
Ni otitọ, agberu yii jẹ apakan pataki ti malware ati, ni ibamu si aniyan olupilẹṣẹ, o yẹ ki o gba iṣẹ ṣiṣe ti iṣiro countering.
Sibẹsibẹ, ni iṣe, awọn ọna aabo jẹ alakoko pupọ, ati pe awọn eto wa ṣaṣeyọri aṣeyọri malware yii.
Awọn ifilelẹ ti awọn module ti wa ni ti kojọpọ lilo Franchy ShellCode o yatọ si awọn ẹya. Sibẹsibẹ, a ko yọkuro pe awọn aṣayan miiran le ti lo, fun apẹẹrẹ, RunPE.
Faili iṣeto ni
Iṣọkan ninu eto
Iṣọkan ninu eto jẹ idaniloju nipasẹ bootloader Daabobo, ti o ba ti ṣeto asia ti o baamu.
- Faili naa ti daakọ ni ọna %AppData%GFqaakZpzwm.exe.
- Faili naa ti ṣẹda %AppData%GFqaakWinDriv.url, ifilọlẹ Zpzwm.exe.
- Ninu okun HKCUSoftwareMicrosoftWindowsCurrentVersionRun bọtini ibẹrẹ ti ṣẹda WinDriv.url.
Ibaṣepọ pẹlu C&C
Agberu AtProtect
Ti asia ti o yẹ ba wa, malware le ṣe ifilọlẹ ilana ti o farapamọ iexplorer ki o si tẹle ọna asopọ kan pato lati leti olupin naa nipa ikolu aṣeyọri.
DataStealer
Laibikita ọna ti a lo, ibaraẹnisọrọ nẹtiwọọki bẹrẹ pẹlu gbigba IP ita ti olufaragba nipa lilo orisun [http]://checkip[.]dyndns[.]org/.
Olumulo-Aṣoju: Mozilla/4.0 (ibaramu; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Ilana gbogbogbo ti ifiranṣẹ jẹ kanna. Akọsori lọwọlọwọ
|——- 404 Keylogger — {Iru} ——-|nibo {iru} ni ibamu si iru alaye ti a gbejade.
Eyi ni alaye nipa eto naa:
_______ + Alaye olufaragba + _______
IP: {IP ita gbangba}
Orukọ eni: {Orukọ Kọmputa}
Orukọ OS: {Orukọ OS}
Ẹya OS: {OS Ẹya}
OS PlatForm: {Platiform}
Iwọn Ramu: {Iwọn Ramu}
______________________________
Ati nikẹhin, data ti a firanṣẹ.
SMTP
Koko lẹta naa jẹ bi atẹle: 404 K | {Iru Ifiranṣẹ} | Orukọ Onibara: {Orukọ olumulo}.
O yanilenu, lati fi awọn lẹta ranṣẹ si alabara 404 Keylogger Olupin SMTP ti awọn olupilẹṣẹ ti lo.
Eyi jẹ ki o ṣee ṣe lati ṣe idanimọ diẹ ninu awọn alabara, bakanna bi imeeli ti ọkan ninu awọn olupilẹṣẹ.
FTP
Nigbati o ba nlo ọna yii, alaye ti o gba ti wa ni fipamọ si faili kan ati ki o ka lẹsẹkẹsẹ lati ibẹ.
Imọye ti o wa lẹhin iṣe yii ko ṣe kedere patapata, ṣugbọn o ṣẹda ohun elo afikun fun kikọ awọn ofin ihuwasi.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Nọmba Lainidii}.txt
Pastebin
Ni akoko itupalẹ, ọna yii nikan ni a lo lati gbe awọn ọrọ igbaniwọle ji. Pẹlupẹlu, kii ṣe lo bi yiyan si awọn meji akọkọ, ṣugbọn ni afiwe. Awọn majemu ni iye ti awọn ibakan dogba si "Vavaa". O ṣee ṣe pe eyi ni orukọ alabara.
Ibaraṣepọ waye nipasẹ ilana https nipasẹ API pastebin... Itumo api_paste_private dọgba PASTE_UNLISTED, eyiti o ṣe idiwọ wiwa fun iru awọn oju-iwe ni pastebin.
Awọn algoridimu ìsekóòdù
Gbigba faili kan pada lati awọn orisun
Awọn isanwo ti wa ni ipamọ ni awọn orisun bootloader Daabobo ni irisi awọn aworan Bitmap. Iyọkuro ni a ṣe ni awọn ipele pupọ:
- Opo awọn baiti ni a yọ jade lati aworan naa. Piksẹli kọọkan ni itọju bi ọna ti awọn baiti 3 ni aṣẹ BGR. Lẹhin isediwon, awọn baiti 4 akọkọ ti titobi tọju gigun ti ifiranṣẹ naa, awọn atẹle naa tọju ifiranṣẹ naa funrararẹ.
- Awọn bọtini ti wa ni iṣiro. Lati ṣe eyi, MD5 jẹ iṣiro lati iye “ZpzwmjMJyfTNiRalKVrcSkxCN” ti a sọ pato gẹgẹbi ọrọ igbaniwọle. Abajade hash ti kọ lẹẹmeji.
- Decryption jẹ ṣiṣe ni lilo algorithm AES ni ipo ECB.
Iṣẹ ṣiṣe irira
Downloader
Ti ṣe imuse ni bootloader Daabobo.
- Nipa olubasọrọ [activelink-repalce] A beere ipo olupin lati jẹrisi pe o ti ṣetan lati sin faili naa. Olupin yẹ ki o pada “LORI”.
- Ọna asopọ [downloadlink-ropo] Awọn isanwo ti wa ni gbaa lati ayelujara.
- Nipasẹ FranchyShellcode awọn payload ti wa ni itasi sinu awọn ilana [inj-ropo].
Nigba ašẹ onínọmbà 404 ise agbese[.] xyz Awọn apẹẹrẹ afikun ni a ṣe idanimọ lori VirusTotal 404 Keylogger, bi daradara bi orisirisi orisi ti loaders.
Ni aṣa, wọn pin si awọn oriṣi meji:
- Gbigbasilẹ ti wa ni ti gbe jade lati awọn oluşewadi 404 ise agbese[.] xyz.
Data ti wa ni koodu Base64 ati AES ti paroko. - Aṣayan yii ni awọn ipele pupọ ati pe o ṣee ṣe julọ lo ni apapo pẹlu bootloader Daabobo.
- Ni akọkọ ipele, data ti wa ni ti kojọpọ lati pastebin ki o si decoded lilo awọn iṣẹ HexToByte.
- Ni ipele keji, orisun ti ikojọpọ ni 404 ise agbese[.] xyz. Sibẹsibẹ, idinku ati awọn iṣẹ iyipada jẹ iru awọn ti a rii ni DataStealer. O ṣee ṣe ni akọkọ ti gbero lati ṣe iṣẹ ṣiṣe bootloader ni module akọkọ.
- Ni ipele yii, fifuye isanwo ti wa tẹlẹ ninu iṣafihan orisun ni fọọmu fisinuirindigbindigbin. Awọn iṣẹ isediwon ti o jọra ni a tun rii ni module akọkọ.
Awọn olugbasilẹ ni a rii laarin awọn faili ti a ṣe atupale njRat, SpyGate ati awọn RAT miiran.
Keylogger
Log ti firanṣẹ akoko: 30 iṣẹju.
Gbogbo ohun kikọ ni atilẹyin. Pataki ohun kikọ ti wa ni sa. Iṣiṣẹ wa fun BackSpace ati awọn bọtini Parẹ. Ifura ipo Ọrọ.
ClipboardLogger
Log ti firanṣẹ akoko: 30 iṣẹju.
Akoko idibo idaduro: 0,1 aaya.
Ṣiṣeyọyọ ọna asopọ ti a ṣe.
ScreenLogger
Log ti firanṣẹ akoko: 60 iṣẹju.
Awọn sikirinisoti ti wa ni fipamọ sinu %HOMEDRIVE%%HOMEPATH%Awọn iwe aṣẹ404k404pic.png.
Lẹhin fifiranṣẹ folda naa 404k ti paarẹ.
ỌrọigbaniwọleStealer
Awọn aṣàwákiri | Mail ibara | FTP onibara |
---|---|---|
Chrome | Outlook | FileZilla |
Akata | Thunderbird | |
SeaMonkey | Foxmail | |
icedragon | ||
PaleMoon | ||
cyberfox | ||
Chrome | ||
BraveBrowser | ||
Aṣàwákiri QQ | ||
Iridium Browser | ||
XvastBrowser | ||
Chedot | ||
360 Aṣàwákiri | ||
ComodoDragon | ||
360Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
chromium | ||
Vivaldi | ||
Slimjet Browser | ||
orbitum | ||
CocCoc | ||
Tọṣi | ||
UCBrowser | ||
EpicBrowser | ||
Blisk Browser | ||
Opera |
Counteraction to ìmúdàgba onínọmbà
- Ṣiṣayẹwo boya ilana kan wa labẹ itupalẹ
Ti gbe jade nipa lilo wiwa ilana taskmgr, IlanaHacker, procexp64, procexp, procmon. Ti o ba wa ni o kere ju ọkan, malware yoo jade.
- Ṣiṣayẹwo ti o ba wa ni agbegbe foju kan
Ti gbe jade nipa lilo wiwa ilana vmtoolsd, VGAuthSvice, vmacthlp, VBoxSvice, VBoxTray. Ti o ba wa ni o kere ju ọkan, malware yoo jade.
- Ti o sun fun iṣẹju-aaya 5
- Ifihan ti awọn oriṣiriṣi awọn apoti ibaraẹnisọrọ
Le ṣee lo lati fori diẹ ninu awọn apoti iyanrin.
- Fori UAC
Ti ṣe nipasẹ ṣiṣatunṣe bọtini iforukọsilẹ EnableLUA ni Group Afihan eto.
- Nlo awọn abuda "farasin" si faili ti o wa lọwọlọwọ.
- Agbara lati pa faili ti o wa lọwọlọwọ rẹ.
Awọn ẹya aiṣiṣẹ
Lakoko itupalẹ bootloader ati module akọkọ, a rii awọn iṣẹ ti o ni iduro fun iṣẹ ṣiṣe afikun, ṣugbọn wọn ko lo nibikibi. Eyi ṣee ṣe nitori otitọ pe malware tun wa ni idagbasoke ati pe iṣẹ ṣiṣe yoo gbooro laipẹ.
Agberu AtProtect
A rii iṣẹ kan ti o ni iduro fun ikojọpọ ati abẹrẹ sinu ilana naa msiexec.exe lainidii module.
DataStealer
- Iṣọkan ninu eto
- Decompression ati decryption awọn iṣẹ
O ṣee ṣe pe fifi ẹnọ kọ nkan data lakoko ibaraẹnisọrọ nẹtiwọọki yoo ṣee ṣe laipẹ. - Ifopinsi awọn ilana antivirus
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Enjini | Pavw | avgserv9schedapp |
bdagent | Ailewu | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | aṣwebsv |
olydbg | F-Agnt95 | PCwin98 | aṣidip |
anibis | Findvir | Pcfwallicon | ashmaisv |
wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Gbagun | Rav 7 | Norton |
mbam | Frw | Rav7win | Norton Auto-Dabobo |
keyscrambler | F-Stopw | giga | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Aworan32 | ccsetmgr |
Akwin32 | Ibmasn | Aworan95 | ccevtmgr |
Odi | Ibmavsp | Scanpm | avadmin |
Anti-Trojanu | Ikede95 | Scscan | avcenter |
ANTIVIRI | Icloadnt | Isin95 | aropin |
Apvxdwin | Icmon | Smc | avguard |
ATRACK | Icsup95 | SMCSSVICE | avnotify |
Autodown | Icsupnt | Snort | avscan |
Avconsol | Iface | Sphinx | guardgui |
Oṣuwọn 32 | Omo98 | Gba95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Titiipa2000 | Tbscan | clamscan |
Avnt | Wo ke o | Tca | clamTray |
Avp | Luall | Tds2-98 | clamWin |
Ap32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | MPftray | Vet95 | sigtool |
Avpm | N32scanw | Vetray | w9xpopen |
Apptc32 | NAVAPSVC | Vscan40 | Sunmọ |
Avpupd | NAVAPW32 | Vsecomr | cmgradian |
Avsched32 | NAVLU32 | Vshwin32 | alogserver |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Dudu | NeoWatch | agbegbe aago | avsynmgr |
Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
Cfiaudit | Nisumu | GBADE32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | sched |
Claw95 | Norton | avgcc | ti tẹlẹ |
Claw95cf | Igbesoke | avgamsvr | MsMpEng |
Ninu | Nvc95 | avgupsvc | MSASCui |
Olusona3 | Odi | apapọ | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Iparun ara ẹni
- Nkojọpọ data lati afihan orisun orisun
- Didaakọ faili ni ọna kan %Temp%tmpG[ọjọ ati aago lọwọlọwọ ni milliseconds].tmp
O yanilenu, iṣẹ kanna wa ni AgentTesla malware. - Išẹ alajerun
malware gba atokọ ti media yiyọ kuro. A ṣẹda ẹda malware ni gbongbo eto faili media pẹlu orukọ naa Sys.exe. Autorun ti wa ni imuse nipa lilo faili kan autorun.inf.
Profaili Attacker
Lakoko itupalẹ ti ile-iṣẹ aṣẹ, o ṣee ṣe lati fi idi imeeli ati oruko apeso ti olupilẹṣẹ silẹ - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Nigbamii, a rii fidio ti o nifẹ lori YouTube ti o ṣe afihan ṣiṣẹ pẹlu akọle.
Eyi jẹ ki o ṣee ṣe lati wa ikanni olupilẹṣẹ atilẹba.
O han gbangba pe o ni iriri ni kikọ awọn oluyaworan. Awọn ọna asopọ tun wa si awọn oju-iwe lori awọn nẹtiwọọki awujọ, bakanna bi orukọ gidi ti onkọwe naa. O wa ni jade lati wa ni a olugbe ti Iraq.
Eyi ni ohun ti olupilẹṣẹ Keylogger 404 kan dabi. Fọto lati profaili Facebook ti ara ẹni.
Ẹgbẹ CERT-IB ti kede irokeke tuntun kan - 404 Keylogger - ibojuwo wakati XNUMX ati ile-iṣẹ idahun fun awọn irokeke cyber (SOC) ni Bahrain.
orisun: www.habr.com