Stealer par crack (suite)

Suite du billet Stealer pour les nuls : exemple de vol de mot de passe suite à la découverte d’un Stealer un peu original.
Toujours le même vecteur des cracks sur des forums/sites de téléchargement.

A noter aussi une grosse tendance, des stealers .Net qui envoie les mots de passe volés par mail.
Contrairement au billet précédent, ces stealers ne s’appuyent pas sur des outils annexes pour récupérer les mots de passe, ainsi donc, la détection peut-être caché derrière des crypters.
J’en parlais sur ce billet à travers le rapport ThreatExpert : Evaluer une URL/Fichiers : Malicieux ou non Malicieux – voici une capture où l’on peux voir le crack afficher un faux message d’erreur et la connexion au SMTP de Google sur le port 587.

La connexion étant crypter, sniffer les connexions ne permettent pas de récupérer l’email de destination.
Ici, en dumpant la mémoire du processus et en cherchant dans les strings, on peux récupérer celle-ci (ça ne fonctionne pas si l’information est cryptée) :

Autre cas ici avec un autre crack.
ce dernier contient plusieurs fichiers, crack.exe lance Vettle qui va ensuite lancer le fichier 1.exeLe fichier 1.exe dézip des batchs qui lancent à leurs tours d’autres utilitaires avec des paramètres.


ici add.exe décompresser le fichier 1.exe

Ceci créé le fichier web.bin – ce dernier s’occupe de voler les mots de passe.

 

File name: web.bin
Submission date: 2011-11-15 22:02:45 (UTC)
Current status: finished
Result: 7 /42 (16.7%)

DrWeb 5.0.2.03300 2011.11.15 Tool.PassView.511
Fortinet 4.3.370.0 2011.11.15 HackerTool/NetPass
Kaspersky 9.0.0.837 2011.11.15 not-a-virus:PSWTool.Win32.NetPass.akf
McAfee 5.400.0.1158 2011.11.15 HTool-PWSFFox
McAfee-GW-Edition 2010.1D 2011.11.15 HTool-PWSFFox
NOD32 6633 2011.11.15 a variant of Win32/PSWTool.WebBrowserPassView.B 

MD5   : 81fcac24c4ffb04255ca162dd7d38e26
SHA1  : 825e1fda64f417c8a861728c916a18c5f93536bd
SHA256: f01819a6433c0966cdde892788a80b3ebb06134a230a75b6fc7dccb6c0886da6

Le résultat créé un fichier .dll qui va être compressé.

Le tout est ensuite transféré par FTP en utilisant le client FTP ftp.exe inclut en natif dans Windows.



Le batch qui vole les mots de passe et compresse le fichier de résultat.
On notera l’erreur sur %usename%.dll => %username.dll – il manque le r
Du coup le fichier créé est .dll et non username.dll

Le batch qui envoie le fichier rar :

Ci-dessous, le FTP, on peux voir qu’il y a quelques fichiers RAR depuis le  27.

Ci-dessous le vol de mot de passe pour l’utilisateur loveandtice / loyeandtice (je vais le prévenir par mail) :

Comme je suis un salaud… un peu de nettoyage s’impose.
Pas de quoi Hicham 😉

La semaine dernière, je suis tombé sur un autrestealer de ce type qui cryptait le fichier contenant les informations volées, ce dernier était aussi envoyé par FTP.
On voit donc qu’il existe deux types de stealers ;  du côté des « malwares maisons » – ceux qui envoient les informations volées par mail et ceux qui envoient les informations par FTP.

Il est à noter que ces malwares sont du « one shot », aucune modification du registre n’est faite pour se relancer au démarrage.
Vous lancez le crack, le malware vole les informations et les envoie, puis tout se termine là.
Il est donc casi impossible (surtout si l’antivirus ne couine pas) pour un utilisateur lambda de savoir que ses informations de connexion ont été volées.

Dans les deux cas, un Parefeu/Firewall peux s’avérer utile pour filtrer les connexions.
Dans le second cas, supprimer/renommer le fichier ftp.exe peux augmenter la sécurité de votre machine, bien que le client FTP peux être embarqué dans le malware.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 62 times, 1 visits today)

7 thoughts on “Stealer par crack (suite)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *