- Цена
- 20k$
- Контакты
- pm
Stealer Xabarovsk (Win | чистая Java) — это вредоносная программа, которая предназначена для кражи конфиденциальных данных с зараженного устройства. Xabarovsk предназначен для следующего:
1. Кража логинов и паролей: собирает браузеры(
Brave
Chrome
Edge
Firefox
Opera
OperaGX
Vivaldi
Yandex
), такие как учетные записи веб-сайтов, куки, данные банковских карт, история посещений, логины и пароли(расшифровка на стороне зараженного пк), расширение.
2. Кража файлов(
Расширение
txt
pdf
png
jpg
jpeg
пути: pictures, desktop
): сбор происходит рекурсивно, проходит по всем папкам и подпапкам и собирает все файлы с нужным расширением. Файлы копируются и передаются на удаленный сервер.
3. Кража десктопных приложений:
Telegram
Steam
Discord
Телеграм - tdata, дискорд и стим - как браузер(token), так и с десктопная версия.
4. Кража информации о системе: собор информации о системе, такую как
IP-адреса,
Характеристики оборудования
Имя пользователя
Запущенное программное обеспечение
Сетевые интерфейсы
Имя хоста
Город и регион
Буфер обмена
Время запуска
Путь запуска
5. Кража в реальном времени. Захват
веб камеры
скриншот экрана
6. Кража десктопных криптокошельков:
bitcoin
exodus
jaxx
atomic
7. Сбор запущенных процессов
штатных для работы ОС
запущенных пользователем
8. Кража VPN десктопных приложений: сбор таких vpn как
NordVPN
Surfshark
ProtonVPN
ExpressVPN
PureVPN
9. Кража инструментов для администрирования:
FileZilla(FTP-клиент)
10. Проверка виртуалки/песочницы
Запуск только на десктопных версиях ОС
11. Запуск HVNC
обфусцированные проект на чистом C (будет добавлен по вашему желанию)
12. Обход АВ
Добавлены динамические таймауты по всей программы которые с каждым запуском в разных местах и разно скоростью реализуют задержку исполнения какого либо модуля
Мусорные части кода
Белые куски кода с выполнением полезных мусорных задач
Искусственное увеличение используемой оперативной памяти при старте
Лог сохраняется на жестком диске системы. Стиллер строит динамически количевство папок и их имя куда будет сохранен лог. Так же можно добавить пути куда может быть сохранен лог, и после отправки удален. Например, если у пользователя есть хром браузер, то временный лог можно положить в папку кеша, или же если есть телеграм, то в папку телеграма. Если таких программ нет, то делаем динамические пути и их имена и сохраняем туда. Все это сделано динамически и можно легко настроить.
Реализована многопоточность, все функции программы начинают свою работу одновременно и асинхронно, Что уменьшает время работы программы.
Не работает по странам СНГ и работать не будет.
Весь код на 95% уникален(только работа с браузерами была подсмотрена из другого проекта).
Нет админ панели, логи приходят просто в виде архива, расшифровываются по уникальному ключу и разархивируются.
Динамический стаб(вызов модулей с каждым запуском происходит в рандомном порядке).
Сам лог перед отправкой архивируется и шифруется по алгоритму aes256, и передается на сервер(ftp оправка нужно указать лишь ip/port сервера). Как лог пришел на сервер, он разархивируется и расшифровывается.
Все пути до собираемых ресурсов, а также до информации о ip/port сервера, зашифроаванны по алгоритму aes256. Хранятся в настройках программы в зашифрованном виде, только когда программа запущена, она динамически при использовании какого то конкретного модуля расшифровывает нужную строку. Например, при сборе крипто кошельков, по очередно берутся зашифрованные пути, расшифровываютя и передаются в модуль, расшифрованные пути хранятся только в памяти. По такому же смыслу отправляется и лог(в зашифрованном виде).
Программа написана полностью на java. Зависимости есть, но они не подгружаются с сервера, а уже идут с коробки, из за этого вес билда довольно большой(8 мб) в jar. Исходный код программы обфусцируется с помощью штатного обфускатора и после этого java код пересоберается в нативный код с помощью graalvm.
Дело в том, что java запускается только если на пк есть jvm(java виртуальная машина), без нее программа к сожалению не запуститься. Так же минусом будет скорость программы(побыстрее конечно чем питон, но и помедленнее плюсов), из за того что код передается с начало в jvm, там он компилируется в машинный код и только потом исполняется.
Но с помощью graalvm мы сразу из java соберем нативный(машинный) код, в .exe а не .jar. что гораздо ускорит скорость отработки стиллера(менее 3с), и добавит возможность запуска без jvm, даже на чистых машинах. Так же вес нативно собранного билда - около 3 мб.
Есть базовый криптор для добавления мусорного кода, изменения ключей шифрования строк, изменения зашифрованных строк на новые(под ключ шифрования), изменения на рандомные имен классов/методов/переменных.
Так же реализована простенькая функция подписки - после определенной даты, программа перестает запускаться. Ее можно легко убрать или оставить по вашему желанию.
При работе используются следующие зависимости:
org.json | - для сбора информации о пк
jna для работы с winapi _
sarxos для захвата веб камеры(удаляется при желании)
org.apache.commons для копирования директорий
windpapi4j для вызова некоторых системных функций виндовс
1. Кража логинов и паролей: собирает браузеры(
Brave
Chrome
Edge
Firefox
Opera
OperaGX
Vivaldi
Yandex
), такие как учетные записи веб-сайтов, куки, данные банковских карт, история посещений, логины и пароли(расшифровка на стороне зараженного пк), расширение.
2. Кража файлов(
Расширение
txt
png
jpg
jpeg
пути: pictures, desktop
): сбор происходит рекурсивно, проходит по всем папкам и подпапкам и собирает все файлы с нужным расширением. Файлы копируются и передаются на удаленный сервер.
3. Кража десктопных приложений:
Telegram
Steam
Discord
Телеграм - tdata, дискорд и стим - как браузер(token), так и с десктопная версия.
4. Кража информации о системе: собор информации о системе, такую как
IP-адреса,
Характеристики оборудования
Имя пользователя
Запущенное программное обеспечение
Сетевые интерфейсы
Имя хоста
Город и регион
Буфер обмена
Время запуска
Путь запуска
5. Кража в реальном времени. Захват
веб камеры
скриншот экрана
6. Кража десктопных криптокошельков:
bitcoin
exodus
jaxx
atomic
7. Сбор запущенных процессов
штатных для работы ОС
запущенных пользователем
8. Кража VPN десктопных приложений: сбор таких vpn как
NordVPN
Surfshark
ProtonVPN
ExpressVPN
PureVPN
9. Кража инструментов для администрирования:
FileZilla(FTP-клиент)
10. Проверка виртуалки/песочницы
Запуск только на десктопных версиях ОС
11. Запуск HVNC
обфусцированные проект на чистом C (будет добавлен по вашему желанию)
12. Обход АВ
Добавлены динамические таймауты по всей программы которые с каждым запуском в разных местах и разно скоростью реализуют задержку исполнения какого либо модуля
Мусорные части кода
Белые куски кода с выполнением полезных мусорных задач
Искусственное увеличение используемой оперативной памяти при старте
Лог сохраняется на жестком диске системы. Стиллер строит динамически количевство папок и их имя куда будет сохранен лог. Так же можно добавить пути куда может быть сохранен лог, и после отправки удален. Например, если у пользователя есть хром браузер, то временный лог можно положить в папку кеша, или же если есть телеграм, то в папку телеграма. Если таких программ нет, то делаем динамические пути и их имена и сохраняем туда. Все это сделано динамически и можно легко настроить.
Реализована многопоточность, все функции программы начинают свою работу одновременно и асинхронно, Что уменьшает время работы программы.
Не работает по странам СНГ и работать не будет.
Весь код на 95% уникален(только работа с браузерами была подсмотрена из другого проекта).
Нет админ панели, логи приходят просто в виде архива, расшифровываются по уникальному ключу и разархивируются.
Динамический стаб(вызов модулей с каждым запуском происходит в рандомном порядке).
Сам лог перед отправкой архивируется и шифруется по алгоритму aes256, и передается на сервер(ftp оправка нужно указать лишь ip/port сервера). Как лог пришел на сервер, он разархивируется и расшифровывается.
Все пути до собираемых ресурсов, а также до информации о ip/port сервера, зашифроаванны по алгоритму aes256. Хранятся в настройках программы в зашифрованном виде, только когда программа запущена, она динамически при использовании какого то конкретного модуля расшифровывает нужную строку. Например, при сборе крипто кошельков, по очередно берутся зашифрованные пути, расшифровываютя и передаются в модуль, расшифрованные пути хранятся только в памяти. По такому же смыслу отправляется и лог(в зашифрованном виде).
Программа написана полностью на java. Зависимости есть, но они не подгружаются с сервера, а уже идут с коробки, из за этого вес билда довольно большой(8 мб) в jar. Исходный код программы обфусцируется с помощью штатного обфускатора и после этого java код пересоберается в нативный код с помощью graalvm.
Дело в том, что java запускается только если на пк есть jvm(java виртуальная машина), без нее программа к сожалению не запуститься. Так же минусом будет скорость программы(побыстрее конечно чем питон, но и помедленнее плюсов), из за того что код передается с начало в jvm, там он компилируется в машинный код и только потом исполняется.
Но с помощью graalvm мы сразу из java соберем нативный(машинный) код, в .exe а не .jar. что гораздо ускорит скорость отработки стиллера(менее 3с), и добавит возможность запуска без jvm, даже на чистых машинах. Так же вес нативно собранного билда - около 3 мб.
Есть базовый криптор для добавления мусорного кода, изменения ключей шифрования строк, изменения зашифрованных строк на новые(под ключ шифрования), изменения на рандомные имен классов/методов/переменных.
Так же реализована простенькая функция подписки - после определенной даты, программа перестает запускаться. Ее можно легко убрать или оставить по вашему желанию.
При работе используются следующие зависимости:
org.json | - для сбора информации о пк
jna для работы с winapi _
sarxos для захвата веб камеры(удаляется при желании)
org.apache.commons для копирования директорий
windpapi4j для вызова некоторых системных функций виндовс
Rat Kosmos (Win/Mac | чистая Java) [АНОНС ПОКА НЕ ДОСТУПЕН] способен работать на MacOS и windows. А именно он умеет:
1. Кража файлов(
Расширение
txt
pdf
png
jpg
jpeg
пути: desktop, downloads
): сбор происходит рекурсивно, проходит по всем папкам и подпапкам и собирает все файлы с нужным расширением. Файлы копируются и передаются на удаленный сервер.
2. Кража информации о системе: собор информации о системе, такую как
IP-адреса,
Характеристики оборудования
Имя пользователя
Запущенное программное обеспечение
Сетевые интерфейсы
Имя хоста
Город и регион
Буфер обмена
Время запуска
Путь запуска
3. Кража в реальном времени. Захват
веб камеры
скриншот экрана
Без создания значка запуска приложения(процесс фоновый)
4. Клиппер: подмена буфера обмена, проверяется буфер, и если строка криптокошелек(
btc
xmr
ltc
doge
usdt
), банковская карта, то программа подменит ее на другой. Который хранится в зашифрованном виде в настройках программы.
5. Кейлогер: перехватывает все нажатые пользователем клавиши клавиатуры и записывает их в txt фаил.
6. Сбор буфера обмена: постоянный чек и запись в txt фаил всей информации которая попадает в буфер обмена.
7. Прописывается в автозагрузку(mac/win).
Лог храниться перед отправкой на жестком диске. Пути создается либо динамически с рандомной цепочкой файлов и присваивает им рандомное имя, либо сохраняется в путь файлов который есть заранее, и если их не обнаруживает создает свои. Перед отправкой архив с логом шифруется(aes256), и расшифровывается уже на сервере.
Пути так же шифруются по aes256, и расшифровываются по очередно в момент использования.
Логи с каждого компьютера отправляются 1 раз в месяц. Старый отправленный лог удаляется и создается новый с новыми данными.
Так же программа написана полностью на java. И имеет следующие зависимости, которые лежат в коробке с программой, а не подкачиваются в ходе ее работы
jnativehook(перехват нажатий клавишь)
org.json | - для сбора информации о пк
sarxos для захвата веб камеры
1. Кража файлов(
Расширение
txt
png
jpg
jpeg
пути: desktop, downloads
): сбор происходит рекурсивно, проходит по всем папкам и подпапкам и собирает все файлы с нужным расширением. Файлы копируются и передаются на удаленный сервер.
2. Кража информации о системе: собор информации о системе, такую как
IP-адреса,
Характеристики оборудования
Имя пользователя
Запущенное программное обеспечение
Сетевые интерфейсы
Имя хоста
Город и регион
Буфер обмена
Время запуска
Путь запуска
3. Кража в реальном времени. Захват
веб камеры
скриншот экрана
Без создания значка запуска приложения(процесс фоновый)
4. Клиппер: подмена буфера обмена, проверяется буфер, и если строка криптокошелек(
btc
xmr
ltc
doge
usdt
), банковская карта, то программа подменит ее на другой. Который хранится в зашифрованном виде в настройках программы.
5. Кейлогер: перехватывает все нажатые пользователем клавиши клавиатуры и записывает их в txt фаил.
6. Сбор буфера обмена: постоянный чек и запись в txt фаил всей информации которая попадает в буфер обмена.
7. Прописывается в автозагрузку(mac/win).
Лог храниться перед отправкой на жестком диске. Пути создается либо динамически с рандомной цепочкой файлов и присваивает им рандомное имя, либо сохраняется в путь файлов который есть заранее, и если их не обнаруживает создает свои. Перед отправкой архив с логом шифруется(aes256), и расшифровывается уже на сервере.
Пути так же шифруются по aes256, и расшифровываются по очередно в момент использования.
Логи с каждого компьютера отправляются 1 раз в месяц. Старый отправленный лог удаляется и создается новый с новыми данными.
Так же программа написана полностью на java. И имеет следующие зависимости, которые лежат в коробке с программой, а не подкачиваются в ходе ее работы
jnativehook(перехват нажатий клавишь)
org.json | - для сбора информации о пк
sarxos для захвата веб камеры
Trojan Drushba (Mac/Win | чистая Java) - оснащен функцией дроппера для полезной нагрузки, а конкретно для скачивания основного файла(допустим какой либо программы, под предлогом чего и запускается лаунчер). И Следом после нее, как только основная программа скачалась до n %, начинается установка полезной нагрузки. Всего может быть вместе с основной программой установлено 3 доп программы.
Полезная нагрузка спрятана в картинке. Как только картинка скачалась, ее содержимое расшифровывается(aes256), и в зависимости от настроек(должна ли она быть постоянно на компьютере, или одноразово запуститься и удаляется).
Все строки с настройками, а это пути url, откуда полезная нагрузка в виде картинки скачивается - зашифрованы, и расшифровываются по очередно, по мере необходимости для работы программы.
На стороне сервера реализован удобный криптор исполняемых файлов, которые в конечном итоге перезапишутся в картинку. Так же реализован криптор строк, что бы каждое значение не шифровать отдельно. Строки поделены на части, и собираются как пазл при выполнении программы.
Полезные нагрузки котрые требуют постоянного нахождения на пк, добавляются в авто загрузку. И на маке и на виндовс.
Реализован простенький обфускатор, который динамически заполняет оперативную память различными мусорными данными. Данные на вход каждый раз подаются рандомные.
При настройке программы, есть 2 варианта графического интерфейса, которые покажутся юзеру:
1) Интерфейс офисной программы(пакета офисных программ, редакторов кода/фото/видео и тд)
2) Интерфейс игрового лаунчера(игры, читы, кряки и тд)
3) Запуск без интерфейса сразу полезных нагрузок
Старт скачивания полезных нагрузок начинается только после n %, как скачалась основная программа(для усложнения обнаружения вт), идет запуск полезной нагрузки спустя n секунд.
Реализована многопоточность. То есть программа одновременна начинает скачивать и основное по, и полезные нагрузки. Так же полезные нагрузки одновременна начинают свою работу в разных процессах.
В данной программе нет абсолютно никаких зависимостей. Все используемые библиотеки есть в стандартном java пакете. Вес билда обусловлен графическим интерфейсом(картинки и гифки). Сам же интерфейс тоже полностью с коробки, использовался swing.
Программа с начало собирается в jar исполняемый фаил, затем обфусцируется с помощью штатного обфускатора. И что бы она могла запускаться на пк, которые не имеют java, собираются с помощью graalvm в нативной код. Что существенно ускоряют время запуска файла, и дает возможность запуска на чистых ос.
Так же программа проверяет на какой ос она работает. В случае с виндовс запускается стиллер Xabarovsk , и HVNC(к сожалению реализовать его на чистой java я не смог, по этому взял проект на C и обфусцировал их, можно HVNC и полностью убрать если не потребуется для работы). Если же запустилась программа на мак ос, то сама по себе она будет в .jar формате, тк exe фаил не запустишь на мак. И в этом случае отработает Kosmos. Стиллер требует разовой отработки, так что после отправки лога он удалиться, а в случае с HVNC или Kosmos, где присутствие требуется постоянно - программа пропишет ее в автозагрузку, и спрячет в системный фаил и даст неприметное название.
Реализована проверка на двойное срабатывание. Если официальное ПО, под предлогом установки которого и запускается программа уже есть на пк, то программа просто не запуститься, уведомив юзера что данная программа уже скачена.
Полезная нагрузка спрятана в картинке. Как только картинка скачалась, ее содержимое расшифровывается(aes256), и в зависимости от настроек(должна ли она быть постоянно на компьютере, или одноразово запуститься и удаляется).
Все строки с настройками, а это пути url, откуда полезная нагрузка в виде картинки скачивается - зашифрованы, и расшифровываются по очередно, по мере необходимости для работы программы.
На стороне сервера реализован удобный криптор исполняемых файлов, которые в конечном итоге перезапишутся в картинку. Так же реализован криптор строк, что бы каждое значение не шифровать отдельно. Строки поделены на части, и собираются как пазл при выполнении программы.
Полезные нагрузки котрые требуют постоянного нахождения на пк, добавляются в авто загрузку. И на маке и на виндовс.
Реализован простенький обфускатор, который динамически заполняет оперативную память различными мусорными данными. Данные на вход каждый раз подаются рандомные.
При настройке программы, есть 2 варианта графического интерфейса, которые покажутся юзеру:
1) Интерфейс офисной программы(пакета офисных программ, редакторов кода/фото/видео и тд)
2) Интерфейс игрового лаунчера(игры, читы, кряки и тд)
3) Запуск без интерфейса сразу полезных нагрузок
Старт скачивания полезных нагрузок начинается только после n %, как скачалась основная программа(для усложнения обнаружения вт), идет запуск полезной нагрузки спустя n секунд.
Реализована многопоточность. То есть программа одновременна начинает скачивать и основное по, и полезные нагрузки. Так же полезные нагрузки одновременна начинают свою работу в разных процессах.
В данной программе нет абсолютно никаких зависимостей. Все используемые библиотеки есть в стандартном java пакете. Вес билда обусловлен графическим интерфейсом(картинки и гифки). Сам же интерфейс тоже полностью с коробки, использовался swing.
Программа с начало собирается в jar исполняемый фаил, затем обфусцируется с помощью штатного обфускатора. И что бы она могла запускаться на пк, которые не имеют java, собираются с помощью graalvm в нативной код. Что существенно ускоряют время запуска файла, и дает возможность запуска на чистых ос.
Так же программа проверяет на какой ос она работает. В случае с виндовс запускается стиллер Xabarovsk , и HVNC(к сожалению реализовать его на чистой java я не смог, по этому взял проект на C и обфусцировал их, можно HVNC и полностью убрать если не потребуется для работы). Если же запустилась программа на мак ос, то сама по себе она будет в .jar формате, тк exe фаил не запустишь на мак. И в этом случае отработает Kosmos. Стиллер требует разовой отработки, так что после отправки лога он удалиться, а в случае с HVNC или Kosmos, где присутствие требуется постоянно - программа пропишет ее в автозагрузку, и спрячет в системный фаил и даст неприметное название.
Реализована проверка на двойное срабатывание. Если официальное ПО, под предлогом установки которого и запускается программа уже есть на пк, то программа просто не запуститься, уведомив юзера что данная программа уже скачена.
Я бы хотел найти человека, который захочет приобрести исходники сразу всех 3 программы, которые я описал выше. Продажа строго в одни руки, возможна дальнейшая поддержка всех программ с фиксированным для меня окладом или разовые доработки. В принципе тк у вас будут все исходники на руках вам не составит труд самому добавлять нужный вам функционал или искать другого кодера для его улучшения.
На экспе не так давно видел обьявление, где человек искал кодера который напишет ему стиллер + веб панель с прайсом в +10к$. За свои три проекта(Stealer Xabarovsk , Rat Kosmos, Trojan Drushba) я бы хотел получить 20к$, но я всегда готов рассмотреть ваше предложение!
Только за что бы провести сделку через гаранта!
На экспе не так давно видел обьявление, где человек искал кодера который напишет ему стиллер + веб панель с прайсом в +10к$. За свои три проекта(Stealer Xabarovsk , Rat Kosmos, Trojan Drushba) я бы хотел получить 20к$, но я всегда готов рассмотреть ваше предложение!
Только за что бы провести сделку через гаранта!
Stealer Xabarovsk (Win | Pure Java) is a malicious program that is designed to steal confidential data from an infected device. Xabarovsk is designed for the following:
1. Theft of login and passwords: collects browsers (
Brave
Chrome
Edge
Firefox
Opera
Operagx
Vivaldi
Yandex
), such as web sites, cuckoo accounts, bank cards data, visits, login history and passwords (decryption on the side of the infected PC), expansion.
2. Theft of files (
Extension
TXT
PDF
PNG
JPG
JPEG
Paths: Pictures, Desktop
): The collection takes place recursively, passes through all folders and submarines and collects all files with the desired extension. Files are copied and transferred to a remote server.
3. Theft of desktop applications:
Telegram
Steam
Discord
Telegram - tdata, discord and steam - both a browser (token), and with a desktop version.
4. Theft of information about the system: Cathedral of information about the system, such as
IP address,
Equipment characteristics
User name
Running software
Network interfaces
The name of the host
City and region
Boofer of exchange
Launch time
The path of launch
5. Theft in real time. Capture
Webcams
Screenshot of the screen
6. Theft of desktop cryptocurrencells:
Bitcoin
Exodus
JAXX
Atomic
7. Collection of advanced processes
full -time OS
launched by the user
8. Theft of VPN desktop applications: the collection of such VPN as
Nordvpn
Surfshark
Protonvpn
Expressvpn
Purevpn
9. Theft of tools for administration:
Filezilla (FTP client)
10. Checking virtualists/sandbox
Launching only on desktop versions of the OS
11. Launch of HVNC
Reduced project on pure C (will be added at your request)
12. Circle AB
Dynamic timauts have been added throughout the program that, with each launch in different places and at different speeds, implement a delay in the execution of any module
The trash parts of the code
White pieces of code with useful garbage tasks
Artificial increase in the use of RAM when starting
The log is stored on the hard drive of the system. Stiller builds dynamically the number of folders and their name where the log will be preserved. You can also add the ways where the log can be preserved, and after sending it is removed. For example, if the user has a chrome browser, then a temporary log can be put in a cache folder, or if there is a telegram, then in a Telegram folder. If there are no such programs, then we make dynamic paths and their names and save there. All this is done dynamically and can be easily configured.
Multiplying has been implemented, all the functions of the program begins their work simultaneously and asynchronously, which reduces the operating time of the program.
It does not work in the CIS countries and will not work.
The entire code is 95% unique (only work with browsers was spied from another project).
There is no admin panel, the logs come simply in the form of an archive, deciphered according to a unique key and unzipped.
A dynamic stub (a call of modules with each launch occurs in a random order).
Before sending, the log itself is archivated and encrypted by the AES256 algorithm, and is transmitted to the server (ftp mandrel must only indicate the IP/port of the server). As the log came to the server, it is unzipped and deciphered.
All ways to the collected resources, as well as to the information about the IP/port server, are encrypted according to the AES256 algorithm. They are stored in the program settings in encrypted form only when the program is launched, it dynamically deciphers the desired line when using some specific module. For example, when collecting crypto wallets, encrypted paths are taken by the next, deciphered and transmitted to the module, decrypted paths are kept only in memory. In the same meaning, the log is also sent (in encrypted form).
The program is written completely on Java. There are dependencies, but they are not loaded from the server, but are already coming from the box, because of this, the weight of the build is quite large (8 MB) in Jar. The source code of the program is covered with the help of a standard compulsion and after that Java is retreated to the Native code using Graalvm.
The fact is that Java starts only if the PC has a JVM (Java virtual machine), unfortunately, the program cannot be started without it. The speed of the program will also be the minus (of course, of course, than the python, but also more than the pluses), due to the fact that the code is transmitted from the beginning in JVM, there it is compiled to the machine code and only then executed.
But with the help of Graalvm, we immediately from Java will collect the native (machine) code, in .exe and not .jar. Which will much speed up the speed of working out the style (less than 3C), and add the possibility of starting without JVM, even on clean machines. Also, the weight of the native build - about 3 MB.
There is a basic cryptor for adding a garbage code, changing the encryption keys, changes in encrypted lines to new (turnkey encryption), changes to the random names of classes/methods/variables.
A simple subscription function is also implemented - after a certain date, the program ceases to start. It can be easily removed or left according to your desire.
When working, the following dependencies are used:
Org.json | - to collect information about PC
JNA for working with Winapi _
SARXOS for capturing a web camera (deleted if desired)
Org.apache.commons for copying directory
Windpapi4j to call some systemic functions Windows
1. Theft of login and passwords: collects browsers (
Brave
Chrome
Edge
Firefox
Opera
Operagx
Vivaldi
Yandex
), such as web sites, cuckoo accounts, bank cards data, visits, login history and passwords (decryption on the side of the infected PC), expansion.
2. Theft of files (
Extension
TXT
PNG
JPG
JPEG
Paths: Pictures, Desktop
): The collection takes place recursively, passes through all folders and submarines and collects all files with the desired extension. Files are copied and transferred to a remote server.
3. Theft of desktop applications:
Telegram
Steam
Discord
Telegram - tdata, discord and steam - both a browser (token), and with a desktop version.
4. Theft of information about the system: Cathedral of information about the system, such as
IP address,
Equipment characteristics
User name
Running software
Network interfaces
The name of the host
City and region
Boofer of exchange
Launch time
The path of launch
5. Theft in real time. Capture
Webcams
Screenshot of the screen
6. Theft of desktop cryptocurrencells:
Bitcoin
Exodus
JAXX
Atomic
7. Collection of advanced processes
full -time OS
launched by the user
8. Theft of VPN desktop applications: the collection of such VPN as
Nordvpn
Surfshark
Protonvpn
Expressvpn
Purevpn
9. Theft of tools for administration:
Filezilla (FTP client)
10. Checking virtualists/sandbox
Launching only on desktop versions of the OS
11. Launch of HVNC
Reduced project on pure C (will be added at your request)
12. Circle AB
Dynamic timauts have been added throughout the program that, with each launch in different places and at different speeds, implement a delay in the execution of any module
The trash parts of the code
White pieces of code with useful garbage tasks
Artificial increase in the use of RAM when starting
The log is stored on the hard drive of the system. Stiller builds dynamically the number of folders and their name where the log will be preserved. You can also add the ways where the log can be preserved, and after sending it is removed. For example, if the user has a chrome browser, then a temporary log can be put in a cache folder, or if there is a telegram, then in a Telegram folder. If there are no such programs, then we make dynamic paths and their names and save there. All this is done dynamically and can be easily configured.
Multiplying has been implemented, all the functions of the program begins their work simultaneously and asynchronously, which reduces the operating time of the program.
It does not work in the CIS countries and will not work.
The entire code is 95% unique (only work with browsers was spied from another project).
There is no admin panel, the logs come simply in the form of an archive, deciphered according to a unique key and unzipped.
A dynamic stub (a call of modules with each launch occurs in a random order).
Before sending, the log itself is archivated and encrypted by the AES256 algorithm, and is transmitted to the server (ftp mandrel must only indicate the IP/port of the server). As the log came to the server, it is unzipped and deciphered.
All ways to the collected resources, as well as to the information about the IP/port server, are encrypted according to the AES256 algorithm. They are stored in the program settings in encrypted form only when the program is launched, it dynamically deciphers the desired line when using some specific module. For example, when collecting crypto wallets, encrypted paths are taken by the next, deciphered and transmitted to the module, decrypted paths are kept only in memory. In the same meaning, the log is also sent (in encrypted form).
The program is written completely on Java. There are dependencies, but they are not loaded from the server, but are already coming from the box, because of this, the weight of the build is quite large (8 MB) in Jar. The source code of the program is covered with the help of a standard compulsion and after that Java is retreated to the Native code using Graalvm.
The fact is that Java starts only if the PC has a JVM (Java virtual machine), unfortunately, the program cannot be started without it. The speed of the program will also be the minus (of course, of course, than the python, but also more than the pluses), due to the fact that the code is transmitted from the beginning in JVM, there it is compiled to the machine code and only then executed.
But with the help of Graalvm, we immediately from Java will collect the native (machine) code, in .exe and not .jar. Which will much speed up the speed of working out the style (less than 3C), and add the possibility of starting without JVM, even on clean machines. Also, the weight of the native build - about 3 MB.
There is a basic cryptor for adding a garbage code, changing the encryption keys, changes in encrypted lines to new (turnkey encryption), changes to the random names of classes/methods/variables.
A simple subscription function is also implemented - after a certain date, the program ceases to start. It can be easily removed or left according to your desire.
When working, the following dependencies are used:
Org.json | - to collect information about PC
JNA for working with Winapi _
SARXOS for capturing a web camera (deleted if desired)
Org.apache.commons for copying directory
Windpapi4j to call some systemic functions Windows
Rat Kosmos (Win/Mac | Pure Java) [The announcement is not yet available] is capable of working on MacOS and Windows. Namely, he knows how:
1. Theft of files (
Extension
TXT
PDF
PNG
JPG
JPEG
Paths: Desktop, Downloads
): The collection takes place recursively, passes through all folders and submarines and collects all files with the desired extension. Files are copied and transferred to a remote server.
2. Theft of information about the system: Cathedral of information about the system, such as
IP address,
Equipment characteristics
User name
Running software
Network interfaces
The name of the host
City and region
Boofer of exchange
Launch time
The path of launch
3. Theft in real time. Capture
Webcams
Screenshot of the screen
Without creating an application launch badge (background process)
4. Clipper: substitution of the exchange buffer, the buffer is checked, and if the line of the crypto -coolant (
BTC
XMR
LTC
DOGE
USDT
), a bank card, the program will replace it with another. Which is stored in encrypted form in the program settings.
5. Keiller: intercepts all the keyboard keys pressed by the user and records them in Txt Fail.
6. Collection of exchange buffer: permanent check and entry in TXT FAIL all the information that enters the exchange buffer.
7. is prescribed in the car load (Mac/Win).
The log is stored before sending on a hard drive. The paths are created either dynamically with a random chain of files and assigns a random name to them, or stored on the path of files that are in advance, and if it does not detect them creates their own. Before sending, the archive with the log is encrypted (AES256), and deciphered already on the server.
The paths are also encrypted along AES256, and decrypted by the next at the time of use.
Logs from each computer are sent once a month. The old sent log is removed and a new one is created with new data.
The program is also completely written on Java. And has the following dependencies that lie in the box with the program, and do not pump up during its work
jnativehook
Org.json | - to collect information about PC
sarxos for capture webcams
1. Theft of files (
Extension
TXT
PNG
JPG
JPEG
Paths: Desktop, Downloads
): The collection takes place recursively, passes through all folders and submarines and collects all files with the desired extension. Files are copied and transferred to a remote server.
2. Theft of information about the system: Cathedral of information about the system, such as
IP address,
Equipment characteristics
User name
Running software
Network interfaces
The name of the host
City and region
Boofer of exchange
Launch time
The path of launch
3. Theft in real time. Capture
Webcams
Screenshot of the screen
Without creating an application launch badge (background process)
4. Clipper: substitution of the exchange buffer, the buffer is checked, and if the line of the crypto -coolant (
BTC
XMR
LTC
DOGE
USDT
), a bank card, the program will replace it with another. Which is stored in encrypted form in the program settings.
5. Keiller: intercepts all the keyboard keys pressed by the user and records them in Txt Fail.
6. Collection of exchange buffer: permanent check and entry in TXT FAIL all the information that enters the exchange buffer.
7. is prescribed in the car load (Mac/Win).
The log is stored before sending on a hard drive. The paths are created either dynamically with a random chain of files and assigns a random name to them, or stored on the path of files that are in advance, and if it does not detect them creates their own. Before sending, the archive with the log is encrypted (AES256), and deciphered already on the server.
The paths are also encrypted along AES256, and decrypted by the next at the time of use.
Logs from each computer are sent once a month. The old sent log is removed and a new one is created with new data.
The program is also completely written on Java. And has the following dependencies that lie in the box with the program, and do not pump up during its work
jnativehook
Org.json | - to collect information about PC
sarxos for capture webcams
Trojan Drushba (Mac/Win | Pure Java) - is equipped with a dropper function for payload, and specifically for downloading the main file (say any program, under the pretext of which the launcher is launched). And after it, as soon as the main program downloaded to n %, the installation of a payload begins. In total, 3 additional programs can be installed along with the main program.
The payload is hidden in the picture. As soon as the picture is downloaded, its contents are deciphered (AES256), and depending on the settings (whether it should be constantly on the computer, or to start and delete once).
All lines with settings, and these are the paths of the URL, where the payload in the form of the picture is downloaded - is encrypted, and decrypted according to the next, as necessary for the work of the program.
A convenient cryptor of executable files is implemented on the server side, which will ultimately rewrite the picture. A lines cryptor is also implemented so that each value cannot be encrypted separately. The lines are divided into parts, and collected like a puzzle when executing the program.
Cotle loading loads require constant location on a PC, added to the car loading. And on poppy and on Windows.
A simple obstacle is implemented, which dynamically fills the RAM with various garbage data. The input data is supplied each time random.
When setting up the program, there are 2 options for a graphic interface that will seem to the user:
1) the interface of the office program (a package of office programs, code editors/photo/video, etc.)
2) the interface of the game launcher (games, cheats, cracks, etc.)
3) starting without an interface of immediately useful loads
The start of downloading benefits begins only after N %, how the main program was downloaded (to complicate the discharge of TU), the payload is launched after n seconds.
Multiplying is realized. That is, the program is simultaneously starting to download both the main software and useful loads. Also, beneficial loads are simultaneously starting their work in different processes.
There are absolutely no dependencies in this program. All libraries used are in the standard Java package. The weight of the build is due to the graphic interface (pictures and gifs). The interface itself is also completely from the box, Swing was used.
The program from the beginning is assembled in JAR executable facilus, then focus with the help of a regular obstacle. And that it could be launched on a PC that do not have Java, gather using Graalvm in a native code. Which significantly accelerates the time of launching the file, and makes it possible to launch on clean OS.
The program also checks which OS it works for. In the case of Windows, the Xabarovsk styller is launched, and HVNC (unfortunately I could not implement it on a pure Java, so I took the project on C and focused them, you can HVNC and completely remove it if it is not required for work). If the program has launched for Mac OS, then it itself will be in the .Jar format, TK EXE FAIL will not be launched on the poppy. And in this case, Kosmos will work out. Stiller requires a one -time development, so after sending the log it, it will retire, and in the case of HVNC or Kosmos, where the presence is constantly required - the program will prescribe it in a car machine, and will hide it in a systemic facet and give an inconspicuous name.
Implemented a double -response check. If the official software, under the pretext of installing which the program is already being launched, is already on the PC, then the program simply cannot start, notifying the user that this program is already downloaded.
The payload is hidden in the picture. As soon as the picture is downloaded, its contents are deciphered (AES256), and depending on the settings (whether it should be constantly on the computer, or to start and delete once).
All lines with settings, and these are the paths of the URL, where the payload in the form of the picture is downloaded - is encrypted, and decrypted according to the next, as necessary for the work of the program.
A convenient cryptor of executable files is implemented on the server side, which will ultimately rewrite the picture. A lines cryptor is also implemented so that each value cannot be encrypted separately. The lines are divided into parts, and collected like a puzzle when executing the program.
Cotle loading loads require constant location on a PC, added to the car loading. And on poppy and on Windows.
A simple obstacle is implemented, which dynamically fills the RAM with various garbage data. The input data is supplied each time random.
When setting up the program, there are 2 options for a graphic interface that will seem to the user:
1) the interface of the office program (a package of office programs, code editors/photo/video, etc.)
2) the interface of the game launcher (games, cheats, cracks, etc.)
3) starting without an interface of immediately useful loads
The start of downloading benefits begins only after N %, how the main program was downloaded (to complicate the discharge of TU), the payload is launched after n seconds.
Multiplying is realized. That is, the program is simultaneously starting to download both the main software and useful loads. Also, beneficial loads are simultaneously starting their work in different processes.
There are absolutely no dependencies in this program. All libraries used are in the standard Java package. The weight of the build is due to the graphic interface (pictures and gifs). The interface itself is also completely from the box, Swing was used.
The program from the beginning is assembled in JAR executable facilus, then focus with the help of a regular obstacle. And that it could be launched on a PC that do not have Java, gather using Graalvm in a native code. Which significantly accelerates the time of launching the file, and makes it possible to launch on clean OS.
The program also checks which OS it works for. In the case of Windows, the Xabarovsk styller is launched, and HVNC (unfortunately I could not implement it on a pure Java, so I took the project on C and focused them, you can HVNC and completely remove it if it is not required for work). If the program has launched for Mac OS, then it itself will be in the .Jar format, TK EXE FAIL will not be launched on the poppy. And in this case, Kosmos will work out. Stiller requires a one -time development, so after sending the log it, it will retire, and in the case of HVNC or Kosmos, where the presence is constantly required - the program will prescribe it in a car machine, and will hide it in a systemic facet and give an inconspicuous name.
Implemented a double -response check. If the official software, under the pretext of installing which the program is already being launched, is already on the PC, then the program simply cannot start, notifying the user that this program is already downloaded.
I would like to find a person who will want to purchase the source at once all 3 programs that I described above. Sale is strictly in one hand, further support of all programs with salaries fixed for me or one -time improvements is possible. In principle, TC will have all the sources on your hands will not make up the work of adding the functionality you need or look for another code to improve it.
At the Exp, not so long ago I saw an announcement where a person was looking for a coder who would write to him a styller + a web panel with a price of $ 10k. For my three projects (Stealer Xabarovsk, Rat Kosmos, Trojan Drushba) I would like to get $ 20k, but I'm always ready to consider your offer!
Only for what to conduct a deal through the guarantor!
At the Exp, not so long ago I saw an announcement where a person was looking for a coder who would write to him a styller + a web panel with a price of $ 10k. For my three projects (Stealer Xabarovsk, Rat Kosmos, Trojan Drushba) I would like to get $ 20k, but I'm always ready to consider your offer!
Only for what to conduct a deal through the guarantor!
