Serveur minecraft

Voleur d'informations immortelles – Security Boulevard – Monter un serveur MineCraft

Le 7 octobre 2019 - 7 minutes de lecture

Récemment, l’équipe Zscaler ThreatLabZ est tombée sur un nouveau logiciel malveillant voleur d’informations appelé Immortal, écrit en .NET et conçu pour voler des informations sensibles sur une machine infectée. Le voleur Immortal est vendu sur le Web sombre avec différents abonnements basés sur la construction. Ce blog propose une analyse des données volées par les navigateurs immortels, des fichiers volés (et des applications volées), et de l’utilisation des données volées. Immortal commence son infection en créant un répertoire avec un nom aléatoire dans un dossier temporaire. Ensuite, il crée un fichier password.log dans «% Temp% Nom_du_du_ Random mot de passe.log». Immortal écrit le nom du logiciel malveillant, le nom de l'auteur et l'adresse du télégramme de l'auteur dans un fichier password.log. Date: Date et heure actuelles “MM / jj / aaaa HH: mm: ss” Nom d'utilisateur Windows: Nom d'utilisateur HWID: MachineGuid Système: Nom du système d'exploitation vol informations volant Immortal vole les données de 24 navigateurs. Il vole les informations d'identification stockées, les cookies, les données de carte de crédit et les données de remplissage automatique des navigateurs ciblés. Lorsque l'utilisateur enregistre un nom d'utilisateur et un mot de passe dans le navigateur ciblé, il stocke les données dans un fichier «Données de connexion» au format de base de données SQLite, ainsi que les informations sur les cookies stockées par le navigateur dans le fichier «Cookies». Il stocke également des données de saisie automatique, des données de carte de crédit et d'autres informations Web dans le fichier «Données Web». Vous trouverez ci-dessous les chemins d'accès à ces fichiers: "% AppData% Local Navigateur Données utilisateur Par défaut Données de connexion" "% AppData% Local Navigateur Données utilisateur Par défaut Données Web" " % AppData% Local Navigateur Données utilisateur Par défaut Cookies ”Liste des navigateurs ciblés: Chrome Yandex Orbitum Opera Amigo CentBrowser Torch Comodo Go! ChromePlus Uran BlackHawk CoolNovo AcWebBrowser Navigateur Epic Baidu Spark Rockmelt Sleipnir SRWare Navigateur Iron Titan Flock Vivaldi Sputnik Maxthon Détournement d'informations d'identification Le logiciel malveillant extrait les informations d'identification du fichier «Données de connexion» et les stocke dans le fichier mot de passe.log, comme dans le format ci-dessous: Chemin: % Temp% Random_DirName password.log ”. SiteUrl: Adresse URL du site Web: Nom d'utilisateur Mot de passe: Mot de passe Programme: Navigateur ciblé Détournement de cookies Immortal extrait les données de cookie du fichier de cookies et les stocke dans le fichier Browsername _cookies.txt. Chemin d'accès: “% Temp% Nom_du_ Random Cookies Nom du navigateur_cookies.txt". Le format est indiqué ci-dessous. Données de carte de crédit Immortal extrait les données de carte de crédit du fichier «Web Data» et les stocke dans le fichier Browsername _CC.txt. Chemin d'accès: “% AppData% Nom_du_ Random CC Nom du navigateur_CC.txt". Le format est indiqué ci-dessous. Remplissage automatique des données La fonctionnalité de remplissage automatique d'un navigateur permet à l'utilisateur de stocker les informations saisies couramment dans des formulaires Web. Ces informations peuvent inclure un nom d'utilisateur, une adresse électronique, un mot de passe, une adresse et des informations sur la carte de crédit. Ainsi, lorsque l'utilisateur ouvre une page Web, il remplit automatiquement les informations déjà enregistrées par le navigateur. Les informations de remplissage automatique sont stockées dans le fichier «Web Data». Immortal va chercher les données de saisie automatique à partir du fichier «Web Data» et les stockera dans le fichier Autofill _CC.txt. Chemin: “% AppData% Nom_du_ Random Remplissage automatique Nom du navigateur_Autofill.txt". Le format est indiqué ci-dessous. Vol de fichiers Immortal vole des fichiers de nombreuses applications différentes. Les détails sont ci-dessous. Lanceurs Minecraft Le logiciel malveillant vole des fichiers de données utilisateur et des sessions aux applications de lancement Minecraft. Le logiciel malveillant copie les fichiers de ces applications dans «% Temp% Nom_du_ Random Applications Nom de l'Application ». Vous trouverez ci-dessous une liste des applications: MinecraftOnly McSkill LavaCraft MinecraftLauncher VimeWorld RedServer Steam Le logiciel malveillant vole des fichiers pour l'application Steam. Steam est une application pour jouer, discuter et créer des jeux. Les fichiers volés par Immortal sont les suivants: SSFN (2 fichiers) Fichiers VDF du dossier de configuration Config.vdf loginusers.vdf Telegram and Discord Immortal dérobe également les fichiers liés aux sessions de Telegram et Discord. Telegram est un service de messagerie instantanée et de voix sur IP basé sur le cloud. Discord est une application de discussion vocale et textuelle multiplateforme conçue pour aider les joueurs à se parler en temps réel. Immortal copie ces fichiers dans “% Temp% nom_aléatoire Applications nom_application ”. Chemin du fichier:% AppData% Telegram Desktop tdata D877F783D5E3EF8C1 % AppData% Telegram Desktop tdata D877F783D5D3EF8C1 map0% AppData% Telegram Desktop tdata D877F783D3F3F3C1C1C1C2C1C1C1C1C1C1C1DJCUJIJIJI .com_0.localstorage FileZilla Immortal vole les fichiers contenant les informations d'identification FileZilla. FileZilla est un outil FTP connu pour le transfert de fichiers. Le logiciel malveillant copie les fichiers ci-dessous dans «% Temp% Nom_du_detard FileZilla ». % AppData% Filezilla recentservers.xml % AppData% Filezilla sitemanager.xml Portefeuille Bitcoin-Qt Immortal vole les fichiers wallet.dat de Bitcoin-Qt, un logiciel de porte-monnaie Bitcoin gratuit et open-source. Vous trouverez ci-dessous une capture d'écran du code permettant d'extraire le chemin du portefeuille à partir du registre. Le logiciel malveillant copie le fichier wallet.dat dans «% Temp% Random_DirName ». Fichiers du bureau Immortal parcourt également tous les fichiers du dossier du bureau de la victime. Il vole les fichiers d’extension (répertoriés ci-dessous) et les copie dans «% Temp% Nom_du_du_aléatoire Fichiers ». Txt Log Doc Docx sql Screenshot & Webcam Immortal prend une capture d'écran du bureau du système infecté et l'enregistre dans «% AppData% Random_DirName desktop.jpg». Il capture également un instantané de la webcam et enregistre celui-ci «% AppData% Random_DirName CamPicture.jpg». Communication en réseau Le logiciel malveillant stocke toutes les données volées dans le répertoire “% Temp% Nom_du_detard ”. Ensuite, il compresse tous les fichiers d’une archive ZIP et enregistre le fichier compressé dans % Temp% nom_fichier_aléatoire .zip. En outre, il envoie Nom_fichier_aléatoire .zip à son serveur de commande et de contrôle, comme indiqué ci-dessous. Il supprime également le «% Temp% Random_DirName » avant d’envoyer le fichier ZIP. Utilisateur = Nom d'utilisateur Hwid = MachineGuid Au moment de l'analyse, le panneau de commande et de contrôle de ce voleur était actif. Nous avons découvert que le voleur Immortal était annoncé et vendu avec différents abonnements basés sur la version. Ce qui suit est une capture d’écran d’une page décrivant l’ensemble des fonctionnalités d’Immortal et son coût par construction. Un prix par publication pour une construction est de 30 $. CIO Md5: 1719ff4ff267ef598a1dcee1d5b68667 URL de téléchargement: www.appleidservice[.]jp / stealer / files / svhost.exe NetworkURL: www.appleidservice[.]jp / stealer / files / upload.php

Articles récents par auteur

*** Ceci est un blog souscrit du réseau Security Bloggers de Research Blog rédigé par [email protected] Lisez le message original à l'adresse: https://www.zscaler.com/blogs/research/immortal-information-stealer.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.