.xll лойдер

[deniska]

Предлагаю вашему внимаю .xll - лойдер.
Особенности:

• протестирована работа на всей линейке Office начиная с 2003 версии
• работает как в х86, так и в x64 версиях Office
• поддерживается только нэтив пейлойд, .Net не поддерживается.
• предусмотрена возможность открытия фейкового документа

Видео

.
Актуальный динчек https://dyncheck.com/scan/id/c51fcb642d349dfde0b7bdd214200f34.
Первым 5 клиентам цена за билд 300$.
Оплата btc/monero.
Контакты deniska_jbr@exploit.im, TOX 6D2265CE89C6C615849920CDA619F80987988CB89C815191D60028F9D8E06A707C541F18546E

 

[deniska]

Обновление

- пейлойд и фейковый документ встраиваются в .xll
- пейлойд exe/dll/скрипт VBS/JS/PS/CMD
- добавлена поддержка .Net пейлойдов exe/dll
- количество детектов снижено до 2 (Каспер - рантайм, Малваре байт - скантайм)
- обходит фильтры GMail

Актуальный динчек https://dyncheck.com/scan/id/ae1e0da57d187d5c2feb453b39c67f44

 

[opapopa1090]

оно в любом раскладе будет показыват что внутри вирус?

 

[opapopa1090]

а вообще интересно, раньше не встречал
а там на скринах что должно показывать, скантайм фала длл а не док, или там типо просто однотипные картинки на все файлы

 

[deniska]

оно в любом раскладе будет показыват что внутри вирус?

желательно чтобы пейлойд был ФУД

а вообще интересно, раньше не встречал
а там на скринах что должно показывать, скантайм фала длл а не док, или там типо просто однотипные картинки на все файлы

реальный запуск показан на видео

 

[Quake3]

Если не углубляться в детали, XLL представляет собой обычную библиотеку DLL, которая экспортирует несколько процедур, вызываемых из M$ Excel. Привлекательность этого вектора атаки в том, что визуально файл .xll имеет иконку экселя (больше шансов , что жертва это запустит), и код будет исполняться из-под доверенного процесса. Конечно, есть и минусы в том плане, что это все же обычная длл (которую надо чистить , криптовать) и разрядность .xll должна совпадать с разрядностью Excel на компе у жертвы. Подробнее, как что и куда можно почитать на офф.сайте https://docs.microsoft.com/en-us/of...welcome-to-the-excel-software-development-kit , сейчас же рассмотрим конкретную реализацию от deniska.

Софт представляет собой 64 битную DLL , размером 280кб, написан на Visual C++. Размер относителен, т.к. зависит от пейлоада, чисток и так далее. По запросу автор может предоставить 32 битную версию. Открываю софт в дизассемблере, смотрю процедуру xlAutoOpen. В ней идет создание двух потоков. Первый поток создает файл с какой-то левой таблицей (для обмана жертвы), и запускает его через ShellExecute(open), чтобы создать видимость что все ок. Второй же поток находит адреса функций OpenProcess,WriteProcessMemory,VirtualAllocEx,CreateRemoteThread,и осуществляет стандартный инжект шеллкода в свой процесс (можно было бы обойтись просто выделением памяти-копированием туда шеллкода). Шеллкод ищет и загружает в память в случае отсутствия библиотеки wininet,mscoree,ole32,oleaut , ищет по хешам апи функции, выделяет память и пытается выполнить полезную нагрузку (т.е. то, что вам нужно). Это нужно обсуждать с автором конкретно, наверное зависит от софта , размера и т.д. Скажу только , что софт поддерживает и натив и дотнет.

ТС адекватный в общении.

<Я> Что ты даешь клиенту? Дллку или что? Что получает покупатель
<Deniska> собранный билд .xll, в который вшит шифрованный AES пейлойд и фейковая таблица эксель
<Я> чистки как - ты делаешь время от времени, или каждому какой-то по возможности уникальный билд? Т.к. если будет много клиентов, этот вопрос встанет
<Deniska> я делаю
<Deniska> по возможности - раз в неделю, каждый пн чистый билд
< Deniska> стаб неуникальный

 

[Haunt]

пейлойд exe/dll/скрипт VBS/JS/PS/CMD

Шеллкод ищет и загружает в память в случае отсутствия библиотеки wininet,mscoree,ole32,oleaut

Скажу только , что софт поддерживает и натив и дотнет.

Проект Donut используется в качестве генератора шк? Или своя логика?

 

[deniska]

На основе донута. Донут уже палиться всем чем не лень . Но в качестве отправной точки сильно помог

 

[Vulnsu]

Is this working or not?

 

[Crown]

Is this working or not?

арбитраж

https://xss.pro/posts/430704/

 

[Vulnsu]

арбитраж

https://xss.pro/posts/430704/

So literally not working then ....

похуй

 

[deniska]

сервис приостановлен, ведеться глобальная перестройка решения, об изменениях будет сообщено дополнительно

 

[opapopa1090]

сервис приостановлен, ведеться глобальная перестройка решения, об изменениях будет сообщено дополнительно

ебать фраер порешал

 

[deniska]

клиент конечно ВСЕГДА ПРАВ, но не дай бог никому таких клиентов... ему манибэк предлагают - он банит в ответ - это как?

 

[patrick12]

ему манибэк предлагают - он банит в ответ - это как?

значит ему денех не надо , лиш бы тебя барыгу в бан загнать

 

[wiseguy01]

I would say this is the first time someone on the internet returned my money back

 

[zeedo]

Когда возобновится обслуживание?

 

[deniska]

возобновление обслуживания не планируется, сервис закрыт для массовых продаж