恶意软件构建工具 KurayStealer 浮出水面
2022-5-26 19:21:52 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Uptycs 的研究人员近日发现了一个新的恶意软件构建工具 KurayStealer,被用于出售给犯罪分子使其更方便构建恶意软件。KurayStealer 是使用 Python 编写的,提供密码窃取和屏幕截图功能,通过 webhook 将窃密数据发送到攻击者的 Discord 频道。KurayStealer 有两个版本:免费版本与 VIP 版本。根据各方情报汇总,该恶意软件构建工具的创建者应该是西班牙裔。

发现 KurayStealer

Uptycs 威胁情报系统在 2022 年 4 月 27 日检测到了 KurayStealer 的第一个样本。根据分析与研究,KurayStealer 于 2022 年 4 月 23 日通过名为 Portu的 Youtube 和 Discord 频道首次发布广告宣传。

窃密行动

最早被发现的 KurayStealer 名为 c2.py。使用 Python 编写,可以在 Python 3.0 下运行。执行后,KurayStealer 会使用 wmic csproduct get UUID来检查 UUID:

image.png-38.4kBUUID 检查

根据 UUID 与 pastebin 中的 UUID 列表进行比对,确定用户是免费用户还是 VIP 用户:

image.png-108.9kB构建工具

根据用户类别与 webhook 的输入,KurayStealer 会在机器中释放名为 DualMTS.py或者 DualMTS_VIP.py的文件。以下都使用免费版本演示 KurayStealer 的功能。

DualMTS.py 尝试将 BetterDiscord 中的字符串 api/webhooks替换为 Kisses,以绕过 BetterDiscord 保护发送 webhook。

image.png-58kB绕过 BetterDiscord 保护

接着,DualMTS.py 尝试使用 python 模块 pyautogui进行屏幕截图。除此之外,还会通过 ipinfo 获取机器所在位置。

image.png-68.7kB屏幕截图

窃取 21 个软件的密码与 Token,包括 Discord、Lightcord、Discord PTB、Opera、Opera GX、Amigo、Torch、Kometa、Orbitum、CentBrowser、7Star、Sputnik、Vivaldi、Chrome SxS、Chrome、 Epic Privacy Browser、Microsoft Edge、Uran、Yandex、Brave、Iridium。

KurayStealer 在收集了计算机名称、地理位置、IP 地址、密码凭据以及屏幕截图后,通过 webhook 发送到 Discord:

image.png-131.4kB凭据发送

威胁情报

分析了代码后,可以找到 Suleymansha & Portu 的编写声明。但是在 GitHub 等多个公开仓库中可以发现类似的声明,这一声明并不能说明作者身份。

KurayStelaer 提供了多个窃密程序作为组件使用,并且使用 Discord 作为 C&C 的信道来收集窃密数据。代码中还包含有攻击者的 Discord 频道邀请链接,该频道介绍了 KurayStelaer 的 VIP 版本信息。

image.png-65.5kBVIP 版本

查看频道信息,Discord 用户 portu在个人资料中提供了 Discord 链接、Shoppy 链接和 YouTube 链接。

image.png-118.2kB用户信息

通过 YouTube 发现用户位于西班牙,用户也上传了 KurayStealer 的演示视频。

image.png-98.2kBYouTube 信息

而在 Shoppy 中则显示了攻击者的其他攻击工具与商业产品。

image.png-49kBShoppy 信息

在撰写本文时,攻击者已经删除了 YouTube 视频。攻击者的 Discord 频道在 2022 年 4 月 26 日发布了有关正在开发勒索软件的公告。

结论

根据情况分析,研究人员认为攻击者仍然会更新窃密程序甚至是其他类型的恶意软件。

IOC

8535c08d7e637219470c701599b5de4b85f082c446b4d12c718fa780e7535f07 (c2.py)
09844d550c91a834badeb1211383859214e65f93d54d6cb36161d58c84c49fab (DualMTS.py)
30b61be0f8d2a8d32a38b8dfdc795acc0fac4c60efd0459cb3a5a8e7ddb2a1c0 (C2.exe)

参考来源

Uptycs


文章来源: https://www.freebuf.com/articles/network/334414.html
如有侵权请联系:admin#unsafe.sh