Да, мы договорились с ТС на экспе, буду смотреть этот софт в ближайшие дни.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Seed-Phrase Extractor [ Ledger, Trezor, BitBox & More ] [ Kaspersky wrote review + article ]
- Автор темы RastaFarEye
- Дата начала
- Статус
- Автор темы
- Добавить закладку
- #22
phant0m I guess next thing you will say is that you don't believe the word of the moderator either?
So afraid to send sample ?
- Автор темы
- Добавить закладку
- #24
1. You are not moderator
2. Your words hold no credibility
3. Go look for it in VirusTotal, there was over 100,000 installs customers poured on it so far
Последнее редактирование:
Многоуровневная система предполагает, что первый стейджер распаковывает второй и так далее. Я начал смотреть с лоадера, но так-то его предваряет еще 1 дроппер. Также, получил панель в виде ехе файла созданного с помощью Electron.
Для начала о панели. Простая, лаконичная, без лишнего мусора. Список клиентов, кошельки, задания и так далее. Из минусов, вероятно, кому-то не зайдет минималистичный дизайн (хотя как по мне, это лучше чем огромные картинки), ну и то, что это .ехе , т.е. понадобится виндовс хостинг. Но это лирика, идем к лоадеру.
Файл написан на С++, 85 килобайт. В основном, в коде используются натив апи. Функционал лоадера крайне простой , подробно его описывать нет смысла - после некоторых проверок анти-отладки идет основной функционал софта. Вообще, в релизном проекте больше разной антиотладки и подобного, при проверке я попросил автора удалить лишнее, чтобы не разгадывать крекмис, а сконцентрироваться на сути. В общем, лоадер есть лоадер Создается https соединение с админ-панелью (ssl на чистом винапи), откуда скачивается картинка (.png), в %program data%. Размер картинки 2.5 мб, в ней содержится основной софт. Пейлоад закодирован с помощью самодельной стеганографии, не изучал подробно алгоритм, суть в том, что после ряда манипуляций выделяется исполняемая память, куда софт пишет декодируемый пейлоад и передает туда управление.
Сделал дамп пейлоада в виде ехе, открыл в Ида. Собственно, это и есть основной функционал. Запуск, проверка версии винды, установка DPI (масштабирования приложения) , соединение с админкой. Инициализация СОМ, создание объекта UI Automation. Этот объект был создан Майкрософт для помощи слабовидящим и все такое, его основная суть - взаимодействие с контролами других программ (попросту говоря - прочитать надпись на кнопке в другой проге). Но, как и все остальное, применяется для других дел (подробнее про технологию можно прочитать здесь https://learn.microsoft.com/en-us/windows/win32/winauto/entry-uiautocore-overview ).
Софт прописывает себя в автозагрузку (стандартный способ через реестр), и копирует в %appdata%. После чего проверяет и скачивает рантайм WebView2. Опять же - это новая технология винды , взамен почившего интернет эксплорера. Майкрософт больше не поддерживает ИЕ, соответственно некоторые страницы могут отображаться некорректно , поэтому используется новый компонент, чтобы пользователь не удивился кривой верстке в приложении. Рантайма на системах ниже 10 может и не быть, да и десятки бывают разные, поэтому софт качает его с оффсайта. Про вебвьюв можно почитать здесь https://learn.microsoft.com/en-us/microsoft-edge/webview2/get-started/win32
Дальше софт висит в процессах , отслеживает определенные окна (Metamask,Ledger, Trezor), и , в зависимости от кошелька, идет отображение пользователю различных фейковых окон. Подробнее это выглядит так - софт находит окно нужного криптокошелька, загружает данные на сервер. Оттуда скачивает данные "лендинга" (html, js) под конкретную прогу. После чего, создает прозрачное окно , которое "перекрывает" окно кошелька, и выводит там дополнительные данные (введите фразу и т.д., зависимости от html контента). Такая технология используется для работы с играми, или для каких-то видео, суть в том, что в оригинальном окне как бы появляются дополнительные элементы (подробнее гугл - overlay window ).
В общем, мои впечатления от софта сугубо положительные. Уже не раз говорил, уровень кодера можно понять при просмотре его продукта в дизассемблере. Самостоятельная реализация ssl, вебсокетов, проверки масштабирования DPI исходя из версии винды - видно, что человек кодил сам, думал, анализировал, а не скопипастил откуда-то сорцы.
Для начала о панели. Простая, лаконичная, без лишнего мусора. Список клиентов, кошельки, задания и так далее. Из минусов, вероятно, кому-то не зайдет минималистичный дизайн (хотя как по мне, это лучше чем огромные картинки), ну и то, что это .ехе , т.е. понадобится виндовс хостинг. Но это лирика, идем к лоадеру.
Файл написан на С++, 85 килобайт. В основном, в коде используются натив апи. Функционал лоадера крайне простой , подробно его описывать нет смысла - после некоторых проверок анти-отладки идет основной функционал софта. Вообще, в релизном проекте больше разной антиотладки и подобного, при проверке я попросил автора удалить лишнее, чтобы не разгадывать крекмис, а сконцентрироваться на сути. В общем, лоадер есть лоадер Создается https соединение с админ-панелью (ssl на чистом винапи), откуда скачивается картинка (.png), в %program data%. Размер картинки 2.5 мб, в ней содержится основной софт. Пейлоад закодирован с помощью самодельной стеганографии, не изучал подробно алгоритм, суть в том, что после ряда манипуляций выделяется исполняемая память, куда софт пишет декодируемый пейлоад и передает туда управление.
Сделал дамп пейлоада в виде ехе, открыл в Ида. Собственно, это и есть основной функционал. Запуск, проверка версии винды, установка DPI (масштабирования приложения) , соединение с админкой. Инициализация СОМ, создание объекта UI Automation. Этот объект был создан Майкрософт для помощи слабовидящим и все такое, его основная суть - взаимодействие с контролами других программ (попросту говоря - прочитать надпись на кнопке в другой проге). Но, как и все остальное, применяется для других дел (подробнее про технологию можно прочитать здесь https://learn.microsoft.com/en-us/windows/win32/winauto/entry-uiautocore-overview ).
Софт прописывает себя в автозагрузку (стандартный способ через реестр), и копирует в %appdata%. После чего проверяет и скачивает рантайм WebView2. Опять же - это новая технология винды , взамен почившего интернет эксплорера. Майкрософт больше не поддерживает ИЕ, соответственно некоторые страницы могут отображаться некорректно , поэтому используется новый компонент, чтобы пользователь не удивился кривой верстке в приложении. Рантайма на системах ниже 10 может и не быть, да и десятки бывают разные, поэтому софт качает его с оффсайта. Про вебвьюв можно почитать здесь https://learn.microsoft.com/en-us/microsoft-edge/webview2/get-started/win32
Дальше софт висит в процессах , отслеживает определенные окна (Metamask,Ledger, Trezor), и , в зависимости от кошелька, идет отображение пользователю различных фейковых окон. Подробнее это выглядит так - софт находит окно нужного криптокошелька, загружает данные на сервер. Оттуда скачивает данные "лендинга" (html, js) под конкретную прогу. После чего, создает прозрачное окно , которое "перекрывает" окно кошелька, и выводит там дополнительные данные (введите фразу и т.д., зависимости от html контента). Такая технология используется для работы с играми, или для каких-то видео, суть в том, что в оригинальном окне как бы появляются дополнительные элементы (подробнее гугл - overlay window ).
В общем, мои впечатления от софта сугубо положительные. Уже не раз говорил, уровень кодера можно понять при просмотре его продукта в дизассемблере. Самостоятельная реализация ssl, вебсокетов, проверки масштабирования DPI исходя из версии винды - видно, что человек кодил сам, думал, анализировал, а не скопипастил откуда-то сорцы.
- Автор темы
- Добавить закладку
- #27
Added a full rework to the backend (nodejs) server script. Now it can support 10,000s of simultaneous connections without crashes (i.e. stack overflow/memory corruption)
Интересно еще ваше мнение по поводу цены данного продукта.
Обсуждать цену запрещено правилами. Каждый продавец может поставить какую угодно стоимость продукта. Грубо говоря, можно выложить хелло_ворлд на 2 кнопки за биткоин, при условии, что нет обмана в описании.
Софт для знающих и понимающих людей. Знали бы вы, сколько средств потеряли те, у кого мог быть этот софт, например, год назад.
когда срывается лог на 960к$ понимаешь, что 25к$ это капля в море. автор сам по себе сделал гениальную идею. ее, кстати, уже один другой кодер успешно перенял и реализовал на маке. но задумка и реализация гениальна.
Есть контакт ? Пришли в ПМ. Спасибо.
/
Последнее редактирование:
- Статус