程序为32位程序,并且是一个.net文件
用dnspy分析,直接定位到主函数
恶意软件从程序集的 AssemblyDescription 属性中提取配置信息,进行base64解码,关键的 Telegram Token 和 Chat ID进行了rot13加密
调用 persistence.CheckCopy(),确保恶意程序被复制到目标路径,防止被删除
在注册表中创建键值,并在发现相同键值存在时停止运行,确保只有一个实例运行
检测是否在虚拟机、沙箱等分析环境中运行。如果检测到分析环境,则退出程序
窃取浏览器的敏感数据,包括保存的密码、cookies 和自动填充信息
窃取被害者主机上的telegram数据,复制数据并压缩为 ZIP 文件,通过 Telegram API 发送到攻击者的服务器
窃取被害者主机上的Exodus 钱包数据,复制数据并压缩为 ZIP 文件,通过 Telegram API 发送到攻击者的服务器
窃取被害者主机上的Metamask数据,复制数据并压缩为 ZIP 文件,通过 Telegram API 发送到攻击者的服务器
获取被害者主机上的系统和硬件信息,包括CPU、GPU、RAM以及系统版本,然后保存到Log\ComputerInfo.txt中
调用 utils 模块的 desktopScreenshot() 函数截取受害者的桌面截图,最后将所有窃取的数据压缩为 ZIP 文件,通过 Telegram Bot API 上传到攻击者的 Telegram 账户
发送文件后会删除痕迹,包括压缩的zip文件和恶意程序自己
定位攻击者github账户
在config数据里找到了攻击者的github主页
https://github.com/attatier
查看攻击者创建的项目,在历史记录里可以找到恶意程序的传播方式
是一个快捷文件,直接用lnkparse分析
快捷文件直接调用powershell远程获取恶意软件,在被害者主机上运行
然后远程获取正常pdf文件,并在被害者执行程序后自动打开,伪装自己
定位攻击者telegram账户
截取流量
telegram账户:
7781867830
生命周期:
信息:
hash:
50a6880b7a2cfb41d50b9fa34438b8fa
4bc209d3c71283fd0efefe10ef2bc4387dd26c19
攻击者账户:
https://github.com/attatier
telegram id:7781867830
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
