Avalon stealer - один из лучших стиллеров [билдер за 100$]

[Joynses]

Людям с репой скидки!

 

[Joynses]

По вопросам писать в лс/жабу.

 

[Joynses]

Людям с репой скидки!

 

[Joynses]

Отзыв с соседнего борда (exploit)

 

[Joynses]

Отзыв с соседнего борда (exploit)

 

[Joynses]

-Добавлен перевод на русский язык
-Динамичное шифрование переменных
-Добавлена упрощенная версия файла с информацией (Information_Simplified.txt), имеющая вид txt файла

Скантайм:

File Name: SignedBuild.exe (1168288 Kb)
MD5: b698b1e9bb4a48670de18b0650c61045
SHA256: 2ea90d2c4c7cef82fcd0bea48ac56aaf9aaacfc0dfebf29175c329304e6c209a
Result Link: https://checkzilla.io/scan/e054e58d29ba0d44606bbd25727c3afb
Internet Connection: Allow
Execution Timeout: 10 seconds
Scantime Rate: 1 / 30
------------------------------
360 Total Security Clean
Adaware Clean
Avast Clean
AVG Clean
Avira Clean
Bitdefender Clean
Cylance Clean
Comodo Clean
Dr Web Clean
Emsisoft Clean
EScan Clean
ESET NOD32 Clean
F-Protect Clean
F-Secure Clean
GData Clean
K7 Computing Clean
Kaspersky Clean
Malwarebytes Clean
MAX Secure Clean
McAfee Clean
Nano AV Clean
Norton Clean
Panda Clean
Sophos Clean
Super Anti-Spyware Clean
Symantec Detect
Total AV Clean
Total Defense Clean
Trend Micro Clean
Webroot Clean


Рантайм:

File Name: SignedBuild.exe (1163168 Kb)
MD5: 7afcd61d45c9ae2cb3dcc5a37bfb4b22
SHA256: d5eeaf688c1903a2550e7994d80ebd9337e80f1f77eb59fb501de424e48a735b
Result Link: https://checkzilla.io/scan/698c19c7f3ae0b9e8c7a676ed23cef1e
Internet Connection: Allow
Execution Timeout: 60 seconds
Runtime Rate: 5 / 30
------------------------------
360 Total Security Clean
Adaware Clean
Avast Clean
AVG Clean
Avira Clean
Bitdefender Detect
Cylance Clean
Comodo Clean
Dr Web Detect
Emsisoft Clean
EScan Clean
ESET NOD32 Clean
F-Protect Clean
F-Secure Clean
GData Clean
K7 Computing Detect
Kaspersky Clean
Malwarebytes Clean
MAX Secure Clean
McAfee Clean
Nano AV Clean
Norton Detect
Panda Clean
Sophos Clean
Super Anti-Spyware Clean
Symantec Detect
Total AV Clean
Total Defense Clean
Trend Micro Clean
Webroot Clean

Напоминаем, что попытка реверса/слив билда, сурсов = арбитраж на 9999$

 

[tilekvj]

Нет.

на чекзиле 404. Не правильно ссылку вставили или шо. хз. Рантайм было бы лучше через динчек просканировать

 

[Joynses]

на чекзиле 404. Не правильно ссылку вставили или шо. хз. Рантайм было бы лучше через динчек просканировать

Для просмотра необходимо зарегистрироваться.

 

[Quake3]

Не надо апать тему несколько раз в день. Еще раз увижу - закрою полностью.

 

[Underd0g]

Еще один форк Echelon от MadCode

 

[Robert0008]

Если хорошо поискать, на гитхабе уже имеется)

 

[Quake3]

Народ, заканчивайте флуд. Какой бы код не продавал автор - он имеет на это полное право. Если вдруг человек продает паблик - то, ес-но, тему закроем, но нужны пруфы. А все остальное это лирика.
Создавайте тему во флейме и обсуждайте там.

 

[c0exist_]

Если хорошо поискать, на гитхабе уже имеется)

Действительно, если поискать на Гитхабе, то можно найти репозиторий под названием "AvalonStealer". Его выложил украинский ресёрчер с ником 3xp0rt, который не так уж и широко, но известен в Твиттере.
Однако там находится не оригинальный код, как можно было ожидать. Как я понял, он нашёл сам образец стиллера и вытащил с него сорцы с помощью программы dnSpy. Чтобы это подтвердить, я достал один из образцов, открыл с помощью dnSpy и сравнил, верна ли моя гипотеза. И как оказалось: да, верна.
Для сравнения: вот список файлов и папок из репозитория, выложенные 3xp0rt'ом:

А вот список из программы dnSpy. Как мы видим, всё совпадает:

Выводы делайте сами. Дальше пойдут ссылки. Если нужны образцы, то они так же есть на ANY.RUN, Malshare и Malware Bazaar.
Первые упоминания:

https://twitter.com/x/status/1280773615626014722

Анпакнутый образец:

#Malware #Stealer #AvalonStealer

BNE9C0-Unpacked.exe:https://t.co/h11GHDdyvfhttps://t.co/Y2LgOXDwNC

MD5: b6ef6516aed2a69b2633413a46c317f6

Also available on @mal_share and @abuse_ch (malware bazaar).

GitHub: https://t.co/hz8wFXX0AJhttps://t.co/4Mf4zqzDbF

— 3xp0rt (@3xp0rtblog) July 18, 2020

Репозиторий:

3xp0rt/AvalonStealer

Contribute to 3xp0rt/AvalonStealer development by creating an account on GitHub.

github.com

 

[Viktor3852]

Действительно, если поискать на Гитхабе, то можно найти репозиторий под названием "AvalonStealer". Его выложил украинский ресёрчер с ником 3xp0rt, который не так уж и широко, но известен в Твиттере.
Однако там находится не оригинальный код, как можно было ожидать. Как я понял, он нашёл сам образец стиллера и вытащил с него сорцы с помощью программы dnSpy. Чтобы это подтвердить, я достал один из образцов, открыл с помощью dnSpy и сравнил, верна ли моя гипотеза. И как оказалось: да, верна.
Для сравнения: вот список файлов и папок из репозитория, выложенные 3xp0rt'ом:
Посмотреть вложение 12376
А вот список из программы dnSpy. Как мы видим, всё совпадает:
Посмотреть вложение 12377
Посмотреть вложение 12378
Выводы делайте сами. Дальше пойдут ссылки. Если нужны образцы, то они так же есть на ANY.RUN, Malshare и Malware Bazaar.
Первые упоминания:

https://twitter.com/x/status/1280773615626014722

Avalon Stealer as shown here:https://t.co/GkJvslw5kT

— Matthew Mesa (@mesa_matt) July 17, 2020

#avalon #stealer #malware has some distinct file paths that could be alerted on.

appdata\\roaming\\[a-z]{6}\\[a-z0-9]{3,}_[a-z-]{4,}\[[a-z]{2}\]\[[a-z]{2,4}\]\.zip

appdata\\roaming\\[a-z]{6}\\dotnetzip-[a-z0-9]{8}\.tmphttps://t.co/iYwbaMVJQ9https://t.co/FhDCsD2ihA https://t.co/01gtpF4lR7 pic.twitter.com/liagB0PG8P

— Suspicious Link (@killamjr) July 17, 2020

Анпакнутый образец:

#Malware #Stealer #AvalonStealer

BNE9C0-Unpacked.exe:https://t.co/h11GHDdyvfhttps://t.co/Y2LgOXDwNC

MD5: b6ef6516aed2a69b2633413a46c317f6

Also available on @mal_share and @abuse_ch (malware bazaar).

GitHub: https://t.co/hz8wFXX0AJhttps://t.co/4Mf4zqzDbF

— 3xp0rt (@3xp0rtblog) July 18, 2020

Репозиторий:

3xp0rt/AvalonStealer

Contribute to 3xp0rt/AvalonStealer development by creating an account on GitHub.

github.com

Всегда для любого проекта вскрытие - вопрос времени. С данным кодом абсолютно ничего нельзя сделать, так как обфускация не снималась, и следовательно, нормально скомпилировать его нельзя.

 

[Joynses]

Работаем! Выпустили версию 1.3

 

[Joynses]

Обновление, версия 1.4
-Внедрен криптор => чистый скантайм
-Оптимизация кода и веса файла
Проверка проводилась на версии с отправкой на Mega.nz
Скантайм (0/31)
--Ссылка: https://dyncheck.com/scan/id/210950bb2602639a020c609760befe77
Рантайм (8/23)
--Ссылка: https://dyncheck.com/scan/id/c7357239a5bb12a1ce32296f5f0de08a

 

[kasual63]

Для сравнения: вот список файлов и папок из репозитория, выложенные 3xp0rt'ом:

Кто эти люди и почему у них столько времени чтобы копаться в каждом сишарпном говне которое где-либо продается

 

[Joynses]

Актуально!

Из за несовместимости jabber серверов многие могли до меня не достучаться. Для покупки писать по контактам.

Jabber: joynses@thesecure.at (Требовать верификацию через лс на форуме).
Запасной Jabber: morwenns@jabber.ru (Требовать верификацию через лс на форуме).

 

[Joynses]

Отзыв с соседнего борда (exploit)

 

[Joynses]

Актуально! По вопросам писать в лс/jabber.