https://www.malekal.com/les-sites-de-cr ... n-en-2020/
Nous somme en 2024 et... Cela fonctionne toujours aussi bien et même cet article de 2006 est toujours d'actualité
Le danger des cracks et des keygens viewtopic.php?t=893
Pour ceux/Celles qui ne connaitraient pas ce que sont les cracks et keygens : https://www.malekal.com/crack-ou-keygen ... -que-cest/
Un petit nouveau prometteur : Luca Stealer https://www.malekal.com/vol-mots-de-pas ... teurs-web/
(Que l'on retrouve sous différentes formes et différents noms, mais le fond est le même : Il vole les données
Ex d'évolution de KMS : viewtopic.php?t=69838
Tout ce qui figure ci dessous est valable dans le cadre d'une utilisation "normale" du PC
Cela ne protège pas infections "volontaires" avec des jeux ou programmes crackés
Sécuriser son PC
viewtopic.php?t=74495
Sécuriser son PC en Windows 10 ou Windows 11 : 17 astuces
https://www.malekal.com/securiser-pc-wi ... hp?t=21270
Ce n'est pas visible ici (j'ai caché le nom du site) mais ce qui ressort de la recherche, ce sont des faux sites qui ressemblent aux vrais sites d'hébergement pirates
Si maintenant on ne peut plus faire confiance aux VRAIS sites de pirates, où va t' on ? :-)
Une partie de ce qui rend ce type de menace si efficace est qu'il cible les individus qui recherchent des logiciels piratés et que souvent il y a de nombreuses redirections, ou des sites "pop up" qui offrent le programme recherché sur un plateau
Le plus souvent, les fichiers d'installation sont stockés sur des sites d'hébergement de fichiers, et l'utilisateur y est simplement redirigé pour les télécharger.
Au moment où je tapote les sites utilisés dans ces campagnes :
Code : Tout sélectionner
xproductkey[.]com
allcracks[.]org
prolicensekeys[.]com
deepprostore[.]com
steamunlocked[.]un
getmacos[.]org
xxx.r2rdownload.com
xxx.elephantafiles.com
et les biens connus sites , où 100% des utilisateurs du forum qui étaient infectés s'étaient retrouvés avec un stealer
Code : Tout sélectionner
- fitgirl : www.fitgirl-repack
- repack games ; https://repack-games.com/
Je passe outre les habituels liens MEGA "offerts par des utilisateurs "dévoués" et "sympathique" toujours prêts à rendre service, sur certaines forums, en discord, sur youtube etc
Idem les liens Youtube où est présenté un programme et un lien pour un crack, avec des commentaires.. "élogieux"
Idem sur Discord du reste etc
Edit du 12/11/2024 :
Comment YouTube est utilisé pour diffuser des trojan
https://www.malekal.com/youtube-trojan/
Les principaux logiciels visés sont évidemment ceux qui sont le plus recherchés
Je n'ai pas tout mis la liste serait trop longue mais on y trouve aussi bien des programmes connus en productivité, que des cracks de Windows, viewtopic.php?t=69838 et le comble de la bêtise pour ceux qui récupèrent (mais elle est sans limite) des Antivirus crackés
Je n'ai pas indiqué de jeux mais ils en font partie, puisqu'une majorité de ceux qui récupèrent des jeux piratés s'en servent pour créer des comptes sur les plates formes habituelles (ORIGIN, Steam etc) afin de tester des programmes de triches (qui maintenant sont aussi vérolés :-)
Si les tricheurs se font voler leurs données, si leur PC subit un ransomware, je ne vais pas compatir, bien au contraire
Code : Tout sélectionner
3DMark
Avast Premier security
Adobe Acrobat Pro
Adobe Lightroom, InDesign, Illustrator, Photoshop, Première, ... des "brushes pour Photoshop
Antidote
AutoCad (Autodesk)
CCleaner PRO Plus/ultimate
Corel Paint shop PRO
Cubas pro
Da Vinci
DxO Filmpacks
Express VPN
FL Sutio 24
Glary Utilites
Iobit driver booster PRO
KMS Tools portable
KMSSpico
MalwareBytes
Microsoft Office pro
Nuance Omnipage
PowerISO
Revo uninstaller PRO
Solid Works
Utorrent Pro
Vegas Pro
Virtual DJ
Visite virtuelle 3DVista Pro
Winrar en version "finale"
Des outils pour les smartphones
Tenorshare 4uKey (C'est juste un exemple)
Et d'autres dont pour récupérer des mots de passe, craquer IOS etc
Des Suite de récupération de données (Minitools etc)
Des programmes liés à l'audio pour les musiciens (Cubase, Garage Band, Ableton, Guitar Pro ...)
.....
Là aussi rien que du classique
La petite différence vient dans les packages
AVANT on avait un programme, et le crack à coté soit en .exe soit sous forme de clé fournie dans un fichier .TXT (ce .TXT rassurait)
Cela n'empêchait pas d'avoir le programme vérolé ou le crack, mais les fichiers étaient "en l'état"
MAINTENANT (Disons depuis 1 ou 2 ans) on voit de plus en plus une archive ZIP protégée par mot de passe
Le mot de passe vient ensuite dans un fichier texte TXT. et sert à déverrouiller l'archive .zip
Cette approche permet à la fois de rassurer l'utilisateur qui pense à juste titre qu'un vrai fichier texte n'est pas dangereux, mais permet aussi de contourner les scanners antivirus lors du téléchargement.
Reste aussi les archives .RAR, surtout que nombre d'utilisateurs (on le voit sur le forum en 2024) utilisent souvent une version.. Crackée, d'un WinRar dont la version est inférieure à la version 6.23, qui a une faille exploitée pour les cracks malveillants
A lire
viewtopic.php?p=554708
Lorsque les utilisateurs visitent des faux sites et cliquent pour télécharger, ils subissent immédiatement de multiples redirections qui obscurcissent le processus de détection par les moteurs de recherche, les scanners anti virus et les livrent finalement à un site malveillant hébergeant le contenu prévu par l'auteur de la menace - un malware info stealer comme celui présenté ci-dessous par exemple
L'utilisateur peut penser à un fonctionnement "normal" du site, mais de toutes les façons, il est dans un effet tunnel parce qu'il le veut ce programme, et ira même parfois/souvent, désactiver l'antivirus pour pouvoir s'en servir
Cela semble paradoxal, car souvent ces personnes recherchent le "meilleur antivirus" justement pour ne pas se faire infecter avec des cracks (ce qui est globalement utopique) ou après avoir été infecté (parce qu'ils veulent continuer à récupérer des cracks)
Après être arrivé à la destination finale et avoir terminé le téléchargement, la charge utile finale reçue dans l exemple ci dessus, est un fichier d'archive zip d'une taille inférieure à 10 Mo.
Dans ce cas, l'URL d'hébergement de logiciels malveillants est un répertoire ouvert contenant plus de 3000 fichiers d'archives zip malveillants se faisant passer pour des types courants de logiciels piratés, comme illustré ci dessous
Dans plusieurs campagnes différentes, depuis le mois de juin, il a été observé que même des sites de confiance comme Mediafire ou Discord étaient également utilisés pour héberger des logiciels malveillants dans plusieurs campagnes différentes.
En plus cela peut se faire par rebond
Une personne est infectée, il a une chaine Youtube.
La chaine Youtube sera piratée (ils ont les données d'accès puisque volées) et là où c'est subtil, c'est que la chaine youtube diffusera des vidéos de cracks divers, en donnant des liens qui contiendront des malwares
L'idéal pour les malfaisants étant de trouver une chaine Youtube avec beaucoup d'abonnés (l'utilisateur peut etre ciblé pour cela)
LES DETAILS DE FONCTIONNEMENT
En gardant le meme exemple de programme dont j'ai caché le nom on a donc au final dans le fichier téléchargé un fichier d'archive compressé qui contient une archive zip protégée par mot de passe et un fichier texte déguisé pour contenir les mots de passe stockés.
Après décompression, le poids du contenu est de 600 Mo, en utilisant la technique de "l'aplatissement des données" - une manière bien connue de placer des données en mémoire, ce qui permet d'éviter l'analyse dans ce cas.
Il s'agit en fait de rembourrage d'octets qui ne sont pas pertinents pour l'exécution du programme mais qui sert à tromper et à échapper à la détection par les moteurs de sécurité.
Le fichier contient également des vérifications Anti-VM et Anti-Debug.
Suite à cela, le processus de vidage supprime les octets non pertinents en réduisant la taille du fichier dans cet exemple de 600 Mo à 78 Ko
Le fichier exécutable dans les archives est le programme malveillant qui va récupérer la charge utile
Une fois le fichier exécuté, il génère une commande PowerShell codée qui lance un processus cmd.exe au bout d'un délai de 10 secondes.
Ces dix secondes sont là pour pour éviter le sandboxing
Ensuite il télécharge un fichier JPG dans le système du nom de "windows.decoder.manager.form.fallout15_Uwifqzjw.jpg (toujours pour cet exemple)
qui s'avère en fait être une DLL.
La DLL finale est le célèbre malware RedLine
Celui ci va donc voler vos informations et il est capable d'extraire des données des navigateurs, des signets, des cookies, des portefeuilles crypto, des VPN, etc.
Edit d'octobre 2023 : On voit également le vol des données dans "'documents" et autres dossiers, ce qui est souvent intéressant à récupérer puisque les utilisateurs stockent des pièces d'identité, des fiches de paie, documents administratifs divers (CAF etc) avec... l'identité, adresse, mail, téléphone, et même des données bancaires
Là on passe une étape puisque tout cela pourrait servir au mieux à du phishing, mais SURTOUT à de l'usurpation d' identité où il faut souvent plusieurs années pour s'en débarrasser
Les auteurs de logiciels malveillants utilisent généralement des packers et des protections pour la compression et pour envelopper le logiciel dans une couche supplémentaire de code déguisé afin d'échapper à la détection.
Les packers gagnent également en popularité pour les techniques anti-VM et anti-débogage qu'ils proposent, qui permettent aux logiciels malveillants de naviguer efficacement dans le système, d'éviter la détection et de s'exécuter plus facilement
Il y a quelques années, ces "enveloppes" pouvaient changer 1 500 fois par heure..
AUCUN antivirus ne peut suivre
La détection se fera par d'autres moyens comme à l'exécution, mais il sera souvent trop tard
En plus les nouvelles générations de Trojan Stealer, une fois leur méfait accompli, peuvent s'auto détruire après donc la récup de données ce qui fait que l'Antivirus ne voit rien lors d'un scan, ou que les rapports FRST n'indiquent rien de spécial, du moins par un oeil qui n 'est pas aguerri, car tout repose sur les compétences du helpeur qui verra par certaines lignes des rapports qu'il s'est passé quelque chose, et du fait de certains dysfonctionnements (liés à ce que le malware a neutralisé/modifié etc)
Je n'ai plus l'ex en tete mais il y en a fortement optimisés, qui sur une machine moderne/puissante peuvent agir en ... 1/10 de seconde
Cela rappelle certains ransomware qui lisent très rapidement la table d'allocation (ou comme des programmes sains comme everything) et sont capables de crypter un disque de 8To en moins de 10 secondes)
En fait vu qu'ils ciblent certains dossiers, certains fichiers, le scan et infection sera plus rapide qu'un programme comme Everything qui lui scanne tout
Les IP contactées se retrouvent dans les fichiers de paramètre de Chrome qu'ils modifient, et également de certains modules qui font des accès extérieurs... dont des mises à jour par ex (un peu comme on peut le voir avec Firefox qui contacte certaines IP dont Mozilla)
Le navigateur est autorisé par le firewall, et il faudrait en fait analyser tous les appels extérieurs.
REDLINE
La charge utile DLL contient un logiciel malveillant RedLine Stealer qui cible l'historique de votre navigateur stocké, il est masqué par un crypteur et compilé en mémoire par le chargeur. Le chargeur charge la DLL et la remplace par le contexte de thread actuel.
Ce RedLine Stealer est conçu, comme il a été dit, pour voler les mots de passe de navigateur stockés, les données de saisie semi-automatique, y compris les informations de carte de crédit, ainsi que les fichiers et portefeuilles de crypto-monnaie.
Il faut savoir que depuis 2020 RedLine est devenu le principal fournisseur de données volées aux forums du dark web, devançant même le célèbre RACOON
A gauche sur les sites de ventes russe, à droite sur les autres sites de ventes à travers le monde
Autres détails : https://malpedia.caad.fkie.fraunhofer.d ... ne_stealer
L'actualité Redline https://www.bleepingcomputer.com/tag/redline/ (pour l'instant vous ne verrez pas cette news qui n'est pas encore connue)
_________________
Ces faux sites délivrent également le malware RecordBreaker Stealer, livrés sans l'utilisation de services d'hébergement de fichiers légitimes en utilisant à la place des outils de conditionnement de logiciels malveillants tels que Themida, VMprotect et MPRESS,
Et ils vont même proposer de désactiver les programmes de sécurité actifs
Ensuite c 'est du grand classique,
Après exécution, le logiciel malveillant communique avec le serveur C2 et renvoie l'ID de la machine et l'ID de configuration avant de télécharger les bibliothèques requises à partir du serveur distant.
Ex d'infos récupérées
RecordBreaker est conçue pour voler des informations de navigateur à partir d'extensions, notamment : MetaMask, TronLink, BinanceChain, Ronin, MetaMask, MetaX, XDEFI, WavesKeeper, Solflare, Rabby, CyanoWallet, Coinbase, AuroWallet, KHC, TezBox, Coin98, Temple, ICONex, Sollet, CloverWallet, PolymeshWallet, NeoLine, Keplr, TerraStation, Liquality, SaturnWallet, GuildWallet, Phantom, TronLink, Brave, MetaMask, Ronin, MEW_CX, TON, Goby et TON en utilisant les ID d'extension fournis par le serveur C2
Il vole également les cookies
Voir cet article https://www.malekal.com/quest-ce-que-l ... e-session/
Cela devient très classique là aussi mais en plus sophistiqué on trouve le "LUCA Stealer," capable de piquer les login/mot de passe meme si une extension de gestion de mots de passe est installée, comme Keepass par ex (mais sur Chrome/chromium)
https://www.bleepingcomputer.com/news/s ... er-forums/
- C'est le seul qui pour l'instant arrive à passer outre les coffre forts sur Chrome/Chromium
- C'est le premier écrit en RUST (ce qui accroit la difficulté pour l'analyser)
- Il est assez élaboré d'après le code source et surtout... ce code source est dispo depuis le 3 juillet pour qui veut y ajouter des fonctions
Au final quelque soit le stealer, cela peut entraîner des pertes financières, le vol d'identité et d'autres formes de fraude et d'extorsion.
Et ces deux la ne sont pas les seuls que l'on retrouve dans les programmes crackés
Ex https://www.bleepingcomputer.com/news/s ... are-sites/
et https://www.trendmicro.com/en_us/resear ... ealer.html
Vous êtes toujours partant pour rechercher des cracks ?
__________
ANNEXE
Les IP Malveillantes (juste pour info ca ne croyez pas être protégés pour autant en collant tout cela dans Hosts par ex) et n'essayez pas non plus de coller ces IP dans votre navigateur
Par ex 45.150.67[.]175 va ramener /aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/msvcp140.dll
Code : Tout sélectionner
45[.]150[.]67[.]175
94[.]158[.]244[.]119
45[.]135[.]134[.]211
194[.]180[.]174[.]180
185[.]250[.]148[.]76
37[.]221[.]67[.]219
45[.]140[.]146[.]169
94[.]140[.]114[.]231
94[.]158[.]244[.]213
45[.]142[.]212[.]100
194[.]180[.]174[.]187
194[.]180[.]174[.]186
135[.]181[.]105[.]89
77[.]91[.]102[.]88
77[.]91[.]103[.]31
94[.]158[.]247[.]24
85[.]239[.]34[.]235
45[.]67[.]34[.]234
45[.]67[.]34[.]238
45[.]142[.]215[.]92
45[.]153[.]230[.]183
45[.]152[.]86[.]98
74[.]119[.]193[.]57
77[.]91[.]74[.]67
146[.]19[.]247[.]28
77[.]91[.]102[.]115
45[.]159[.]251[.]21
146[.]19[.]247[.]52
45[.]142[.]215[.]50
45[.]133[.]216[.]170
193[.]43[.]146[.]22
193[.]43[.]146[.]26
146[.]70[.]124[.]71
193[.]43[.]146[.]17
146[.]19[.]75[.]8
45[.]84[.]0[.]152
45[.]133[.]216[.]249
45[.]67[.]34[.]152
45[.]133[.]216[.]145
Les VRAIS sites peuvent être tout autant infectés et avec d'autres malwares
Code : Tout sélectionner
fullcrack4u[.]com
activationskey[.]org
xproductkey[.]com
saifcrack[.]com
crackedpcs[.]com
allcracks[.]org
aryancrack[.]com
prolicensekeys[.]com
applications-pour-pc[.]com
bagas3-1[.]com
seostar2[.]xyz
keygenwin[.]com
nuage27[.]xyz
touspcsoftwares[.]info
deepprostore[.]com
numéro de série[.]info
steamunlocked[.]un
fichier-store2[.]xyz
reallkeys[.]com
fullcrackedz[.]com
softwaresdaily[.]com
officiels-kmspico[.]com
hotbuckers[.]com
mycrackfree[.]com
procfullcracked[.]com
idmfullcrack[.]info
drake4[.]xyz
crackedsofts[.]info
getintopc[.]numérique
piratespc[.]net
apxsoftwares[.]com
crackfullpro[.]com
toutcrackici[.]info
kuyhaa-moi[.]pw
crackplace[.]com
freepccrack[.]com
proapkcrack[.]com
crackfullpc[.]com
Gratuit-4payé[.]com
lien fissuré[.]com
crackpropc[.]com
cracktube[.]net
getmacos[.]org
getwindowsactivateur[.]info
playzipgames[.]co
proactivationkey[.]com
procracfree[.]com
showcrack[.]com