• XSS.stack #1 – первый литературный журнал от юзеров форума

malware Extended Malware Builder (Stealer, Joiner, Clipper, поддержка AsyncRAT, и многое другое!)

Отслеживать
Ingiborga

Ingiborga

(L3) cache
Забанен
Регистрация
12.12.2020
Сообщения
177
Реакции
43
Пожалуйста, обратите внимание, что пользователь заблокирован
Скриншот 17-06-2021 191148.jpg


Скриншот 17-06-2021 191352.jpg

Изначально софт писался как билдер клиппера для продажи которые не задались, https://xss.pro/threads/52411/ по моей просьбе тему закрыли.
Решил выложить в паблик, но раз паблик почему бы не потренится мне в этом и дополнить функционалом, да где то пабликом где то своим.
Получился не хилый комбайн для создания малвари.
Написан на C# .Net 4.0
Если кратко то на борту билдера:
  • Склейщик (Joiner) - Можно приклеить любые файлы до 1-3мб веса.
  • Гибкий Клиппер который подменивает криптовалютные кошельки из списка на похожие + различные кошельки и ссылки.
  • Граббер (Stealer) - Информация на скринах.
  • 2 Обфускатора + ренеймер которые умеют работать в связке друг с другом, что надеюсь даст долгий боле-менее чистый скантайм детект.
  • Полноценная поддержка AsyncRAT https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp
В процессе личного использования некоторые билды уже отлетали на ВТ, но при правильной настройке:
f5h3oZb5KkyM.png

Остальной функционал смотрите на скринах:

Скриншот 17-06-2021 191148.jpgСкриншот 17-06-2021 191314.jpgСкриншот 17-06-2021 191352.jpgСкриншот 17-06-2021 191437.jpgСкриншот 17-06-2021 191449.jpgСкриншот 17-06-2021 191508.jpg


Скачать Builder:


Исходные коды всего проекта продам за - 50$

О багах, предложениях просьба отписываться в данной теме.
По мере возможности буду дополнять/исправлять/обновлять софт.
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
По просьбам попрошаек) Других вариантов скачать нет если не видите хайд.
Платный контент.
Скачать: https://mega.nz/file/TSoDGS4A#tdbDl0vt8g1ieVv18xeZryDwOf4n77ekebFYTzBD9qY

Пароль: xss.is_662616773817fd


В ЛС я продаю только сурсы, не надо мне долбить пожалуйста.
 
Я конечно извиняюсь за излишнее любопытство, но почему софт с бекдором?:confused:
1.Кидаем билд в dnSpy, видим шифрованные строки
1624473430226.png

Расшифруем через эмулятор
1624473473863.png

2.Переключаемся на данный метод и видим вот такую шнягу.Бинарник закодированный в bs64
1624473528749.png

Сохраняем в .txt и декодим через https://www.base64decode.org/
На выходе получаем екзешник, сразу кидаем в спай
1624473676877.png

3.Видим пакер от фусера, снимем его при помощи моей тулзы
1624473753976.png

Такссс, получившийся бинарник кидаем в спай и видим вот это:
1624473811838.png

То же самое шифрование строк, опять снимаем как в шаге 2
1624473860403.png

Видим клиппер, но уже с кошелями автора(в билдере никаких кошелей не выставлялось)
1624473949727.png

Но он сработает через 5 дней после заражения юзера основным софтом
1624473991359.png


Кстати, этот обфускатор и этот клиппер я видел когда крякал стиллер медкода "MadEasy".Возможно тс и медкод один и тот же человек... но явных пруфов у меня нету
UPD: Прикрепил бинарник извлеченной малвари, расширение .txt поменяйте на .bin/.exe .Форум запрещает грузить .exe
 

Вложения

  • malware.exe_Cleaned_stringdec.txt
    53 КБ · Просмотры: 57
Последнее редактирование:
Самый лучший софт, этот софт, который ты написал сам, он точно безопасен.
 
corpserves сказал(а):
вроде в другом топе уже писали что там клипер в этом говне
Увы коммерс версия не попала мне в руки(
Ну по крайней мере, теперь есть весомый пруф в виде реверса данного софта

Кстати, в недавнем CHMiner был тот-же обфускатор что и на данном софте.
 
c0d3r_0f_shr0d13ng3r сказал(а):
Увы коммерс версия не попала мне в руки(
Ну по крайней мере, теперь есть весомый пруф в виде реверса данного софта

Кстати, в недавнем CHMiner был тот-же обфускатор что и на данном софте.
кошели кста те же что и на скрине )

https://xss.pro/attachments/23731/

первый точно совпадает остальные не смотрел
 
wade1337 сказал(а):
кошели кста те же что и на скрине )

https://xss.pro/attachments/23731/

первый точно совпадает остальные не смотрел
грязно пиздец, кошели действительно совпадают)
 
если там есть кошели для подмены хмр, можно сравнить с старым кошельком chminer'a на который он майнил
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Лож. В билдере вшит стаб бинарным кодом в base64 это да. Но лишь потому что из этого стаба создается уже готовый билд. Каждые 5 дней то что ты увидел запускается переустановка для прописки в авто-загрузку. Хренова ты анпакнул. Связь с какими либо кодерами в виде медкода и прочее уже просто клоунада.
 
Ingiborga сказал(а):
Лож. В билдере вшит стаб бинарным кодом в base64 это да. Но лишь потому что из этого стаба создается уже готовый билд. Каждые 5 дней то что ты увидел запускается переустановка для прописки в авто-загрузку. Хренова ты анпакнул. Связь с какими либо кодерами в виде медкода и прочее уже просто клоунада.
а автозагрузку можно убирать?
 
Ingiborga сказал(а):
ты увидел запускается переустановка для прописки в авто-загрузку. Хренова ты анпакнул.
А почему там твои кошели?

Не надо мне мозги пудрить, код автозагрузки там совсем в другом месте
Ingiborga сказал(а):
Связь с какими либо кодерами в виде медкода и прочее уже просто клоунада.
Я лишь предположил.Объяснишь откуда у тебя его обфускатор?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
c0d3r_0f_shr0d13ng3r сказал(а):
А почему там твои кошели?

Не надо мне мозги пудрить, код автозагрузки там совсем в другом месте

Я лишь предположил.Объяснишь откуда у тебя его обфускатор?
1. Мозги ты пытаешся пудрить. Кошельки мои и в билдере как бы указнны я их не удялял. Как пример.
2. С оф. Сайта... Babel+конфюзер. Все бесплатно можно скачать. С чего ты вообще взял что я использовал какой то мего приват обфускатор для паблика) Возьми https://www.babelfor.net/ после ConfuserEx с гит хаба и получишь то что ты называешь "Его обфускатором"
 
Последнее редактирование:
Ingiborga сказал(а):
1. Мозги ты пытаешся пудрить. Кошельки мои и в билдере как бы указнны я их не удялял. Как пример.
Ты хочешь сказать, что у тебя софт билдит один клиппер, вставляет в другой клиппер и по истечению 5-ти дней заменяет их?
Я создавал билд с пустыми кошелями
1624519752317.png



Ingiborga сказал(а):
2. С оф. Сайта... Babel+конфюзер. Все бесплатно можно скачать. С чего ты вообще взял что я использовал какой то мего приват обфускатор для паблика) Возьми https://www.babelfor.net/ после ConfuserEx с гит хаба и получишь то что ты называешь "Его обфускатором"
Медкод(он же автор CHMiner) использовал ту же самую обфускацию.+Ты говорил про какой-то "приватный обфускатор".Да, я сейчас поставил себе ластовый бабел , методы строк действительно совпадают.Но опять же , ответь на первый вопрос
 
Последнее редактирование:
Мне кажется отпираться тут уже нет смысла, попалился господин ТС на горяченьком. Перед мистером "кодером" снимаю шляпу) Тему с кошельками уже никак не объяснишь, единственный вариант соскочить это сказать что софт таким тебе уже достался, однако тебе никто не поверит)
 
Krypt0n сказал(а):
Лучше через dnSpy либо через другой декомпилятор, получить сурсы вырезать все говно который напихал автор....
Билд скоро перестанет работать.По тупости автора тут юзается триальный Babel, который вставляет DataTime-мутации, которые руинят софт через nn-ое время
1624520158135.png
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх