Prodám HTTP Loader/Trojan - C++/ASM ~ FormGrabber

HackForum

Prodám HTTP Loader/Trojan - C++/ASM ~ FormGrabber#
Nabízím velice spolehlivý HTTP Loader (botnet/Trojan).
Malý filesize (30kb), celkově nativní, velice nízká detekce u antivirusů (Runtime/Scantime).
Perfektní ať už pro špionáž, nebo profitmaking :)

Funkce:
1)FormGrabber(Chrome/IE/Mozilla) ==> Zachycování requestů z webových formulářů. Funguje samozřejmě i s HTTPS.

2)Download & Execute - Možnost spusit DLL/EXE přímo v paměti bez zanechání jakýchkoliv stop na HDD, nebo pak samozřejmě dropnutím na disk.

3)Update, Uninstall

4) Remote Shell


Za příplatek ($160) je pak možné si zakoupit verzi, která kompletně využívá síť TOR.

Panel je velice prostý a intuitivní. Nutnost PHP7.0 a MySQL.
-------------------------------------------
--------

Ceny:

Základní build = $300 + 1x rebuild zdarma.
TOR build = $460 + 1x rebuild zdarma.

Ostatní rebuildy = $10

Plugin - POS Memory scraper = $70
- Zachycuje čísla kreditních karet v paměti a posílá je na panel.

Plugin - Export všech uložených hesel = $75
- Bere všechna lokálně uložená hesla nainstalovaných prohlížečů (Chrome, Mozilla, Opera, IE) a posílá je na panel.

Plugin - SOCKS5 Proxy = $50
- Vytvoří z vašeho bota plně funkční proxy server.

Execution rate +- 75%. Testováno s 1k loads(world mix).


Jabber(XMPP) = bkdd@securejabber.me
Email = sauron1077@openmail.cc








(odpovědět)
sauron1077 | E-mail29.4.2017 19:06
re: Prodám HTTP Loader/Trojan - C++/ASM ~ FormGrab#
To je celkem hodně peněz za kód, který dnes komplet vyripuješ za půl hodiny z každého druhého fóra. Co se týká vlastního výtvoru je to na méně než den práce.

Konkrétně:
1) FormGrabber očekávám standardně přes hookování funkcí (u Chrome trošku náročnější, protože fce nejsou exportované).

2) (In Memory) Download & Execute se dá řešit několika způsoby (přemapování procesu je asi nejjednodušší, namapování DLL knihovny do procesu ručně je pak o něco málo složitější, protože předpokládá hlubší znalost PE formátu a princip mapování PE souborů do paměti), ale obecně se nejedná o nic složitého (ano, existují i další techniky jako využití atomu nebo sdílené paměti, ale nepředpokládám jejich použití).

3) Neřeším, v jednodušším případě řešené buď pomocí BATCHe nebo PowerShellu, ve složitějším podobná Download & Execute.

4) Ten jeden cyklus se směrováním výsledku na výstup dokáže napsat i začátečník.

Kompletní využívání sítě TOR se dá zařídit dvěma způsoby - v prvním jednoduše použiješ veřejně známé brány/proxy pro přístup do TORu (takže klasický HTTP požadavek), ve druhém použiješ knihovny, které jsou veřejně dostupné na internetu (do TOR sítě se přihlašuješ jako přes SOCKS5 proxy).

Panel bych tipoval vyripovanej ze Zeusu nebo SpyEye.
-------------------------------------------
------
Rebuild je zařízen jak? Přegenerováním/Obfuskováním zdrojového kódu nebo přepakováním původní binárky (to bys musel mít hodně kvalitní stuby, což dá celkem zabrat - hlavně časově)?

POS Memory Scraper s Luhn algoritmem dokáže naimplementovat asi každý. Těch pár matematických výpočtů s modulo nestojí ani za řeč.

Export lokálně uložených hesel je poněkud komplikovanšjší, než by se neznalému mohlo zdát. Nevím, jaká je dnes situace, ale u Chrome je třeba hesla vyexportovat přímo na stroji, kde jsou uložena, protože jsou šifrována v datovém souboru svázaného právě s tímto strojem. Po extrakci se jedná o SQLite3 databázi. Takže stačí zavolat pár funkcí z DLL knihoven a dostaneš čistá data, takže izi.

SOCKS5 Proxy se dá velice jednoduše napsat podle RFC. Záležitost do cca 400 řádků kódu a hraní si s příznaky v protokolu.

Execution rate 75%? Tak tomu nevěřím ani za mák. Budeš hóóódně rád za 50%.
-------------------------------------------
------

Teď, co úplně postrádám: Běžící procesy - nutný standard.
Injektování kódu do příslušného procesu podle PID nebo podle jména - to se ta DLL injektuje pouze do procesu malware? To snad ne :-O
Nainstalované aplikace - jak mám do háje zjistit, co za FW/AV/monitorovací aplikace tam běhá?
Keylogger - nutný standard.
HTML Injection - k čemu ti bude FormGrabber, pokud budou odesílaná data (například hesla), zašifrována (u hesel zahashována) nastraně prohlížeče pomocí javascriptu/VBS?

Kde je screenshot z nějakého viruscheckeru? Pojem velice nízká detekce v tomhle oboru neexistuje (buď je Fully Undetectable nebo je Undetectable a nebo je Detectable - nic mezi).

Na kterých verzích Windows byl testován?
Jak si poradí ze standardními firewally?
Dá se přenastavit port, přes který komunikuje?
Co se stane, pokud vypadne C&C? Dokáže si bot najít nové?
Je řešeno bypassování UAC?

Co se týká ceny, ta je tak na úrovni před sedmi lety, kdy se za podobné kousky platily i násobně vyšší sumy. Reálná cena takového malwaru je asi 50$ včetně modulů.

----------
Sec-Cave.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website30.4.2017 17:59
re: Prodám HTTP Loader/Trojan - C++/ASM ~ FormGrab#
> Kompletní využívání sítě TOR se dá zařídit dvěma způsoby - v prvním jednoduše použiješ veřejně známé brány/proxy pro přístup do TORu (takže klasický HTTP požadavek), ve druhém použiješ knihovny, které jsou veřejně dostupné na internetu (do TOR sítě se přihlašuješ jako přes SOCKS5 proxy).

... nebo vlastni implementaci TOR protokolu. Nebo si ji ripnout odnekud z githubu. zrovna u tohoto by me zajimalo, jak to autor vyresil :)
(odpovědět)
mayo | 212.4.138.*2.5.2017 17:23

Zpět
 
 
 

 
BBCode