Meduza Stealer = Aurora Stealer ???

[DoppleKSE]

Сообщения в коммерческой теме Meduza потерли. Но информация для размышлений интересная.

Все началось с вот этого обзора:

Meduza Stealer or The Return of The Infamous Aurora Stealer

Meduza Stealer malware analysis

russianpanda.com

В теме продавца я приложил несколько скриншотов, продублированных из ссылки выше, и задал ему вопросы, прикладываю их еще раз.

Спойлер: Скрины

Продавец ответил, что как хочет, так и называет файлы проекта. Но каждый разработчик знает, что файлы проекта обычно называют согласно их содержимому. Это уже подозрительно, наряду с остальными строками и отладочной информацией.

Мое предположение по поводу этой ситуации. Всем известно, что Аврора скамнулась и после этого сразу же развалилась.
И тут интересный вопрос, а куда же делись кодеры, которые писали Аврору ? Испарились ? Думаю, что один или несколько кодеров, имевших доступ к сорцам из распавшейся Авроры сейчас являются разработчиками Meduza.
Meduza в качестве оправдания приводит аргумент - "Aurora была написана на Go, а наш проект написан на С++". Возможно сейчас в проекте помимо старого штата появились другие сотрудники и сорцы были переделаны на более удобный для всех кодеров язык. Где-то файлы и названия поменяли, а где-то забыли. А когда это раскрылось, появилось оправдание "я как хочу файлы проекта так и называю, хоть AuroraStealer.cpp, хоть RedLine.cpp".
Так же стоит обратить внимание на то, что Meduza появилась не сразу после развала Aurora, прошел месяц-два, этого достаточно, что бы переделать сорцы, а так же оттянуть время, что бы не выходить на рынок сразу.

Если Meduza действительно связан с Aurora, на этот случай следует обратить внимание. Скам на $50к происходит не каждый день. Возможно ответственные за этот скам вернулись сейчас к нам под новым именем.

Тегну админа, модераторов admin, Quake3, Pernat1y, IIIIXX
И пару экспертов DildoFagins, waahoo

 

[Dudjcdiiwkdkcks]

Извиняюсь, за то что лезу сюда, но тем не менее.

Возьмем тот же Redline и Meta Stealer. Исходники абсолютно идентичны, за исключением косметических моментов

Редлайн - красный, Мета - синяя, (у меты разблокирован кейкреатор + отстук по СНГ)

То есть разницы по сути нет, но спрос есть и у того, и у другого. Сравнить исходники не представляется возможным, и всех отличий нам знать не дано, к сожалению (и не надо)

То есть не вижу в самом факте подобия софта чего-то плохого, однозначных доказательств нет, но задуматься стоит однозначно.

 

[alphamale]

Медуза и Аврора очевидно написаны одной группой разработчиков. Одни и те же артефакты в коде, один и тот же стиль общения. Эти люди в течение длительного времени создают шаблонные стиллеры и продают на форумах, время от времени меняя аккаунты.

Извиняюсь, за то что лезу сюда, но тем не менее.

Возьмем тот же Redline и Meta Stealer. Исходники абсолютно идентичны, за исключением косметических моментов

Редлайн - красный, Мета - синяя, (у меты разблокирован кейкреатор + отстук по СНГ)

То есть разницы по сути нет, но спрос есть и у того, и у другого. Сравнить исходники не представляется возможным, и всех отличий нам знать не дано, к сожалению (и не надо)

То есть не вижу в самом факте подобия софта чего-то плохого, однозначных доказательств нет, но задуматься стоит однозначно.

Реверс всё покажет.

 

[Quake3]

Все может быть, но название может совпасть по миллиону причин. Мб помнишь была история про Азорульт++, многие искали конспирологию, типа автор ушел в приват, хотя там просто совпало название.
Но здесь примечательно другое. Если кодер сует в билд отладочные символы - мне кажется, все с ним ясно. Да простит меня селлер стиллера и его клиенты, но как по мне, это сходу показывает уровень разработчика. Как и линковка с sqlite, телеграм , и т.д. и т.п.

 

[DoppleKSE]

Извиняюсь, за то что лезу сюда, но тем не менее.

Возьмем тот же Redline и Meta Stealer. Исходники абсолютно идентичны, за исключением косметических моментов

Редлайн - красный, Мета - синяя, (у меты разблокирован кейкреатор + отстук по СНГ)

То есть разницы по сути нет, но спрос есть и у того, и у другого. Сравнить исходники не представляется возможным, и всех отличий нам знать не дано, к сожалению (и не надо)

То есть не вижу в самом факте подобия софта чего-то плохого, однозначных доказательств нет, но задуматься стоит однозначно.

Мета и Ред это простой ребрендинг и реселлинг с целью полнять больше бабла. Они вообще особо не скрывают, что за этим всем стоят одни и те же люди. В топиках меты так и написано, что мета это полностью копия Реда, только с небольшими изменения. Но ни Ред ни Мета не скамили людей. Так что тут придраться особо не к чему. Это просто граммотный маркетинг.
А вот Аврора скамнулась на 50к, и если Meduza = Aurora, то тут есть за что спросить.

 

[DildoFagins]

И пару экспертов DildoFagins, waahoo

Не, ну как корабль назовешь, так он и поплывет... почему-то мы стали забывать старую и добрую традицию: проекты и особенно классы нужно называть исключительно по трекам Нурминского.

Если серьезно, то я в этой стиллероной сцене не варюсь, поэтому вопросы мне вряд ли стоит задавать. Но стиллеры - это такая сфера, где особо нового придумывать никому не нужно, когда можно просто копипастить друг у друга и с гитхабов. Может, тут так и случилось.

Если кодер сует в билд отладочные символы - мне кажется, все с ним ясно. Да простит меня селлер стиллера и его клиенты, но как по мне, это сходу показывает уровень разработчика

Ну в целом в нативных языках бывает очень полезно в логи записать, на какой строке и в каком файле происходят ошибки. Другое дело, что в малвари пихать прям полные пути к файлам бессмысленно чуть более чем полностью. Хотя бы обрезал до имени файла с помощью constexpr (или же в современных GCC/MinGW/Clang вроде уже появился __FILE_NAME__), или еще лучше вместо имени вставлял бы хеш.

 

[DoppleKSE]

Если серьезно, то я в этой стиллероной сцене не варюсь, поэтому вопросы мне вряд ли стоит задавать. Но стиллеры - это такая сфера, где особо нового придумывать никому не нужно, когда можно просто копипастить друг у друга и с гитхабов. Может, тут так и случилось.

Тут вопрос в том, что копипастить Аврору неоткуда, это закрытый проект, а не опенсорс. Так что если у кого и были исходники, так это у бывших разработчиков Авроры.
И если это так, то Meduza напрямую или косвенно причастен к тому скаму на $50к

 

[Meduza]

Все может быть, но название может совпасть по миллиону причин. Мб помнишь была история про Азорульт++, многие искали конспирологию, типа автор ушел в приват, хотя там просто совпало название.
Но здесь примечательно другое. Если кодер сует в билд отладочные символы - мне кажется, все с ним ясно. Да простит меня селлер стиллера и его клиенты, но как по мне, это сходу показывает уровень разработчика. Как и линковка с sqlite, телеграм , и т.д. и т.п.

День добрый, в отчёте ресёрчер разбирает бинарь панели, а не стиллера (на самом деле стиллера тоже, но чуть дальше). В билде стиллера никаких SQLite и ничего лишнего нет. Вся отладочная информация в панели представляет из себя данные макросов библиотеки Spdlog, которую мы используем для улучшения UX (можно выставить лог левел на дебаг и отправлять логи разработчику).


Если вам интересно, с радостью предоставим исходники на анализ, объяснять что-то человеку который считает себя правым всегда и везде бессмысленено, но любому человеку с репутацией реверсера или из команды форума с радостью предоставим исходный код для анализа. Также можеи предоставить хеши всех транзакций пользователей и беседу, если есть желание побеседовать с пользовталеями.

 

[Dudjcdiiwkdkcks]

Не, ну как корабль назовешь, так он и поплывет... почему-то мы стали забывать старую и добрую традицию: проекты и особенно классы нужно называть исключительно по трекам Нурминского.

Если серьезно, то я в этой стиллероной сцене не варюсь, поэтому вопросы мне вряд ли стоит задавать. Но стиллеры - это такая сфера, где особо нового придумывать никому не нужно, когда можно просто копипастить друг у друга и с гитхабов. Может, тут так и случилось.


Ну в целом в нативных языках бывает очень полезно в логи записать, на какой строке и в каком файле происходят ошибки. Другое дело, что в малвари пихать прям полные пути к файлам бессмысленно чуть более чем полностью. Хотя бы обрезал до имени файла с помощью constexpr (или же в современных GCC/MinGW/Clang вроде уже появился __FILE_NAME__), или еще лучше вместо имени вставлял бы хеш.

Исключительно по трекам Нурминского - полностью солидарен

 

[0x43rypt0n]

I stop working on back English forums because of scammers and Github clones copy pasters Scriptting kidds people says xss is better I hope that

 

[Дагестанец]

Кое где в интернете прошла новость что
Meduza Stealer = Aurora = Titan
Исходник пишут один, может конечно люди разные, но это не точно, точного фактора нету
А там видно будет

 

[V1rtualGh0st]

Почему никто не говорит что Eternity = WhiteSnake, это же настолько очевидно, или на шарпо софты уже неинтересны никому?

 

[slice]

Если она выглядит как крыса и пахнет как крыса, то это крыса.

 

[DoppleKSE]

Почему никто не говорит что Eternity = WhiteSnake, это же настолько очевидно, или на шарпо софты уже неинтересны никому?

А вот это тоже интересно, черкани в лс наблюдения, ну или тут, как удобнее.

 

[DoppleKSE]

Aurora = Titan

Такое слышал, но говорят, что Титан был просто под крылом Авроры, друг или знакомый, до какого-то момента они двигались рядом, когда у Титана были косяки или проблемы, Аврора влезала и разбиралась. Но в любом случае связь между ними всеми есть, даже если это не одни и те же люди, то связаны они в любом случае очень тесно, возможно даже знакомы в оффлайне.

 

[bigheadguy]

Но ни Ред ни Мета не скамили людей. Так что тут придраться особо не к чему. Это просто граммотный маркетинг.

тут бы поспорил. да, не скамили открыто. но все же, есть отказы от гаранта стороннего(я про реда). а это повод задуматься. меня когда то залочили в их группе, после того как я скрины дал, что у них отстук идет с задержкой, на какой то софт( лодырь или другую панель, серв). хотя при покупке, были сомнения(в самой покупке) что автор отказался от гаранта експлоита. конечно же, фактов и пруфов нет. поэтому обсуждать нечего. нуу, предложите купить через местного гаранта. думаю откажет. 1-2-3 может и норм будет. но в последствии будет отказывать.

 

[DoppleKSE]

тут бы поспорил. да, не скамили открыто. но все же, есть отказы от гаранта стороннего(я про реда). а это повод задуматься. меня когда то залочили в их группе, после того как я скрины дал, что у них отстук идет с задержкой, на какой то софт( лодырь или другую панель, серв). хотя при покупке, были сомнения(в самой покупке) что автор отказался от гаранта експлоита. конечно же, фактов и пруфов нет. поэтому обсуждать нечего. нуу, предложите купить через местного гаранта. думаю откажет. 1-2-3 может и норм будет. но в последствии будет отказывать.

ну за руку не пойман - не вор. но о том что ты описал я тоже слышал. и ред, и видар, и ракун, все логи пиздят, кто-то более палвено, кто то менее палвено, они все левые темы мутят постоянно.
но аврора это прям выделяющийся случай, открытый скам, который никто даже не пытался скрыть

 

[bigheadguy]

ну за руку не пойман - не вор

это понятно, но все же. предложи реду стороннего гаранта, сольетя. а почему? вопрос риторический.

 

[RUPanda924]

Даже если это Аврора дев, они никогда этого не признают. Не будут же они репутацию свою портить со своим новый стиллером и будут всячески отрицать этого)
Я не вижу смысла переименовывать cpp билда именно на Аврорку, к тому же вряд ли они ожидали, что кто-то будет копаться в панеле. У Авроры тоже логи по base64 и JSON идут. "Ну и что если мы похожи, мы тоже так можем", но что-то очень сходится.

 

[Wolverine]

Также можеи предоставить хеши всех транзакций пользователей

А вы всем их можете предоставить без разрешения\уведомления самих пользователей?