Vous voulez des programmes piratés, des cracks ? Obtenez RedLine

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Messages : 11223
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Vous voulez des programmes piratés, des cracks ? Obtenez RedLine

par Parisien_entraide »

En 2020 Malekal titrait : Les sites de crack pour distribuer des malwares : ça marche encore bien en 2020
https://www.malekal.com/les-sites-de-cr ... n-en-2020/


Nous somme en 2022 et... Cela fonctionne toujours aussi bien et même cet article de 2006 est toujours d'actualité
Le danger des cracks et des keygens viewtopic.php?t=893


Pour ceux/Celles qui ne connaitraient pas ce que sont les cracks et keygens : https://www.malekal.com/crack-ou-keygen ... -que-cest/

Ex d'évolution de KMS : viewtopic.php?t=69838



QU'EST QUI A CHANGE OU QU'ON RETROUVE EN 2022 ?

Les attaquants utilisent des techniques d'empoisonnement SEO et lancent des campagnes publicitaires pour promouvoir leurs ressources dans les résultats de recherche. Les sites proposent de télécharger des "cracks", des keygens, etc.
(SEO = Search Engine Optimisation et Search Engine cela désigne les moteurs de recherche WEB (donc Google, Bing etc) )

Cela ce n'est pas nouveau mais cela s'est accentué
Plus de détails (et toujours d'actualité) viewtopic.php?t=21270

Ce n'est pas visible ici (j'ai caché le nom du site) mais ce qui ressort de la recherche, ce sont des faux sites qui ressemblent aux vrais sites d'hébergement pirates
Si maintenant on ne peut plus faire confiance aux VRAIS sites de pirates, où va t' on ? :-)

Une partie de ce qui rend ce type de menace si efficace est qu'il cible les individus qui recherchent des logiciels piratés et que souvent il y a de nombreuses redirections, ou des sites "pop up" qui offrent le programme recherché sur un plateau

seo.jpg


Le plus souvent, les fichiers d'installation sont stockés sur des sites d'hébergement de fichiers, et l'utilisateur y est simplement redirigé pour les télécharger.
Au moment où je tapote les sites utilisés dans ces campagnes :

Code : Tout sélectionner

xproductkey[.]com 
allcracks[.]org 
prolicensekeys[.]com 
deepprostore[.]com 
steamunlocked[.]un 
getmacos[.]org


Les principaux logiciels visés sont évidemment ceux qui sont le plus recherché (je n'ai pas tout mis la liste serait trop longue mais on y trouve aussi bien des programmes connus en productivité, que des cracks de Windows, viewtopic.php?t=69838 et le comble de la bêtise pour ceux qui récupèrent (mais elle est sans limite) des Antivirus crackés

Code : Tout sélectionner

Adobe Acrobat Pro 
Adobe Lithroom, Illustrator, Photoshop, Première, des "brushes pour Photoshop
Cubas pro
Revo uninstaller PRO
DxO Filmpacks
Express VPN 
MalwareBytes
Utorrent Pro
Microsoft Office pro
Winrar en version "finale"
CCleaner PRO Plus
AVast Premier security

KMSSpico
KMS Tools portable

PowerISO
Corel Paint shop PRO
Antidote
Nuance Omnipage
Virtual DJ
Iobit driver booster PRO
Auto CAD
Glary Utilites
3DMark 
Visite virtuelle 3DVista Pro 
Des Suite de récupération de données (Minitools etc)
.....

Là aussi rien que du classique

La petite différence vient dans les packages
AVANT on avait un programme, et le crack à coté soit en .exe soit sous forme de clé fournie dans un fichier .TXT (ce .TXT rassurait)
Cela n'empêchait pas d'avoir le programme vérolé ou le crack, mais les fichiers étaient "en l'état"

MAINTENANT (Disons depuis 1 ou 2 ans) on voit de plus en plus une archive ZIP protégée par mot de passe
Le mot de passe vient ensuite dans un fichier texte TXT. et sert à déverrouiller l'archive .zip

Cette approche permet à la fois de rassurer l'utilisateur qui pense à juste titre qu'un vrai fichier texte n'est pas dangereux, mais permet aussi de contourner les scanners antivirus lors du téléchargement.

Lorsque les utilisateurs visitent ces faux sites et cliquent pour télécharger, ils subissent immédiatement de multiples redirections qui obscurcissent le processus de détection par les moteurs de recherche, les scanners anti virus et les livrent finalement à un site malveillant hébergeant le contenu prévu par l'auteur de la menace - un malware info stealer comme celui présenté ci-dessous par exemple

programme.jpg


L'utilisateur peut penser à un fonctionnement "normal" du site, mais de toutes les façons, il est dans un effet tunnel parce qu'il le veut ce programme, et ira même parfois/souvent, désactiver l'antivirus pour pouvoir s'en servir
Cela semble paradoxal, car souvent ces personnes recherchent le "meilleur antivirus" justement pour ne pas se faire infecter avec des cracks (ce qu iest globalement utopique)


Après être arrivé à la destination finale et avoir terminé le téléchargement, la charge utile finale reçue dans l exemple ci dessus, est un fichier d'archive zip d'une taille inférieure à 10 Mo.
Dans ce cas, l'URL d'hébergement de logiciels malveillants est un répertoire ouvert contenant plus de 3000 fichiers d'archives zip malveillants se faisant passer pour des types courants de logiciels piratés, comme illustré ci dessous
2022-08-28_123431.jpg

Dans plusieurs campagnes différentes, depuis le mois de juin, il a été observé que même des sites de confiance comme Mediafire ou Discord étaient également utilisés pour héberger des logiciels malveillants dans plusieurs campagnes différentes.


LES DETAILS DE FONCTIONNEMENT


En gardant le meme exemple de programme dont j'ai caché le nom on a donc au final dans le fichier téléchargé un fichier d'archive compressé qui contient une archive zip protégée par mot de passe et un fichier texte déguisé pour contenir les mots de passe stockés.

Après décompression, le poids du contenu est de 600 Mo, en utilisant la technique de "l'aplatissement des données" - une manière bien connue de placer des données en mémoire, ce qui permet d'éviter l'analyse dans ce cas.
Il s'agit en fait de rembourrage d'octets qui ne sont pas pertinents pour l'exécution du programme mais qui sert à tromper et à échapper à la détection par les moteurs de sécurité.
Le fichier contient également des vérifications Anti-VM et Anti-Debug.
Suite à cela, le processus de vidage supprime les octets non pertinents en réduisant la taille du fichier dans cet exemple de 600 Mo à 78 Ko

Le fichier exécutable dans les archives est le programme malveillant qui va récupérer la charge utile
Une fois le fichier exécuté, il génère une commande PowerShell codée qui lance un processus cmd.exe au bout d'un délai de 10 secondes.
Ces dix secondes sont là pour pour éviter le sandboxing
Ensuite il télécharge un fichier JPG dans le système du nom de "windows.decoder.manager.form.fallout15_Uwifqzjw.jpg (toujours pour cet exemple)
qui s'avère en fait être une DLL.

La DLL finale est le célèbre malware RedLine

Celui ci va donc voler vos informations et il est capable d'extraire des données des navigateurs, des signets, des cookies, des portefeuilles crypto, des VPN, etc.


Les auteurs de logiciels malveillants utilisent généralement des packers et des protections pour la compression et pour envelopper le logiciel dans une couche supplémentaire de code déguisé afin d'échapper à la détection.
Les packers gagnent également en popularité pour les techniques anti-VM et anti-débogage qu'ils proposent, qui permettent aux logiciels malveillants de naviguer efficacement dans le système, d'éviter la détection et de s'exécuter plus facilement

Il y a quelques années, ces "enveloppes" pouvaient changer 1 500 fois par heure..
AUCUN antivirus ne peut suivre
La détection se fera par d'autres moyens comme à l'exécution, mais il sera souvent trop tard


En plus les nouvelles générations de Trojan Stealer, une fois leur méfait accompli, peuvent s'auto détruire après donc la récup de données ce qui fait que l'Antivirus ne voit rien lors d'un scan, ou que les rapports FRST n'indiquent rien de spécial
Je n'ai plus l'ex en tete mais il y en a fortement optimisés, qui sur une machine moderne/puissante peuvent agir en ... 1/10 de seconde
Cela rappelle certains ransomware qui lisent très rapidement la table d'allocation (comme everything) et sont capables de crypter un disque de 8To en moins de 10 secondes)
Les IP contactés se retrouvent dans les fichiers de paramètre de Chrome qu'ils modifient, et également de certains modules qui font des accès extérieurs... dont des mises à jour par ex (un peu comme on peut le voir avec Firefox qui contacte certaines IP dont Mozilla)
Le navigateur est autorisé par le firewall, et il faudrait en fait analyser tous les appels exterieurs.


REDLINE

La charge utile DLL contient un logiciel malveillant RedLine Stealer qui cible l'historique de votre navigateur stocké, il est masqué par un crypteur et compilé en mémoire par le chargeur. Le chargeur charge la DLL et la remplace par le contexte de thread actuel.

Ce RedLine Stealer est conçu, comme il a été dit, pour voler les mots de passe de navigateur stockés, les données de saisie semi-automatique, y compris les informations de carte de crédit, ainsi que les fichiers et portefeuilles de crypto-monnaie.

Il faut savoir que depuis 2020 RedLine est devenu le principal fournisseur de données volées aux forums du dark web, devançant même le célèbre RACOON
A gauche sur les sites de ventes russe, à droite sur les autres sites de ventes à travers le monde

2022-08-28_132328.jpg

Autres détails : https://malpedia.caad.fkie.fraunhofer.d ... ne_stealer
L'actualité Redline https://www.bleepingcomputer.com/tag/redline/ (pour l'instant vous ne verrez pas cette news qui n'est pas encore connue)
_________________

Ces faux sites délivrent également le malware RecordBreaker Stealer, livrés sans l'utilisation de services d'hébergement de fichiers légitimes en utilisant à la place des outils de conditionnement de logiciels malveillants tels que Themida, VMprotect et MPRESS,
Et ils vont même proposer de désactiver les programmes de sécurité actifs
2022-08-28_125740.jpg
Ensuite c 'est du grand classique,
Après exécution, le logiciel malveillant communique avec le serveur C2 et renvoie l'ID de la machine et l'ID de configuration avant de télécharger les bibliothèques requises à partir du serveur distant.

Ex d'infos récupérées

2022-08-28_131837.jpg

RecordBreaker est conçue pour voler des informations de navigateur à partir d'extensions, notamment : MetaMask, TronLink, BinanceChain, Ronin, MetaMask, MetaX, XDEFI, WavesKeeper, Solflare, Rabby, CyanoWallet, Coinbase, AuroWallet, KHC, TezBox, Coin98, Temple, ICONex, Sollet, CloverWallet, PolymeshWallet, NeoLine, Keplr, TerraStation, Liquality, SaturnWallet, GuildWallet, Phantom, TronLink, Brave, MetaMask, Ronin, MEW_CX, TON, Goby et TON en utilisant les ID d'extension fournis par le serveur C2

Il vole également les cookies
Voir cet article https://www.malekal.com/quest-ce-que-l ... e-session/
cookie.jpg


Cela devient très classique là aussi mais en plus sophistiqué on trouve le "LUCA Stealer," capable de piquer les login/mot de passe meme si une extension de gestion de mots de passe est installée, comme Keepass par ex (mais sur Chrome/chromium)
https://www.bleepingcomputer.com/news/s ... er-forums/
- C'est le seul qui pour l'instant arrive à passer outre les coffre forts sur Chrome/Chromium
- C'est le premier écrit en RUST (ce qui accroit la difficulté pour l'analyser)
- Il est assez élaboré d'après le code source et surtout... ce code source est dispo depuis le 3 juillet pour qui veut y ajouter des fonctions


Au final quelque soit le stealer, cela peut entraîner des pertes financières, le vol d'identité et d'autres formes de fraude et d'extorsion.

Et ces deux la ne sont pas les seuls que l'on retrouve dans les programmes crackés
Ex https://www.bleepingcomputer.com/news/s ... are-sites/
et https://www.trendmicro.com/en_us/resear ... ealer.html



Vous êtes toujours partant pour rechercher des cracks ?


__________

ANNEXE

Les IP Malveillantes (juste pour info ca ne croyez pas être protégés pour autant en collant tout cela dans Hosts par ex) et n'essayez pas non plus de coller ces IP dans votre navigateur
Par ex 45.150.67[.]175 va ramener /aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/msvcp140.dll

Code : Tout sélectionner

45[.]150[.]67[.]175
94[.]158[.]244[.]119
45[.]135[.]134[.]211
194[.]180[.]174[.]180
185[.]250[.]148[.]76
37[.]221[.]67[.]219
45[.]140[.]146[.]169
94[.]140[.]114[.]231
94[.]158[.]244[.]213
45[.]142[.]212[.]100
194[.]180[.]174[.]187
194[.]180[.]174[.]186
135[.]181[.]105[.]89
77[.]91[.]102[.]88
77[.]91[.]103[.]31
94[.]158[.]247[.]24
85[.]239[.]34[.]235
45[.]67[.]34[.]234
45[.]67[.]34[.]238
45[.]142[.]215[.]92
45[.]153[.]230[.]183
45[.]152[.]86[.]98
74[.]119[.]193[.]57
77[.]91[.]74[.]67
146[.]19[.]247[.]28
77[.]91[.]102[.]115
45[.]159[.]251[.]21
146[.]19[.]247[.]52
45[.]142[.]215[.]50
45[.]133[.]216[.]170
193[.]43[.]146[.]22
193[.]43[.]146[.]26
146[.]70[.]124[.]71
193[.]43[.]146[.]17
146[.]19[.]75[.]8
45[.]84[.]0[.]152
45[.]133[.]216[.]249
45[.]67[.]34[.]152
45[.]133[.]216[.]145
Idem pour les FAUX Sites qui comportent TOUS des malwares de type stealer
Les VRAIS sites peuvent être tout autant infectés et avec d'autres malwares

Code : Tout sélectionner

fullcrack4u[.]com
activationskey[.]org
xproductkey[.]com
saifcrack[.]com
crackedpcs[.]com
allcracks[.]org
aryancrack[.]com
prolicensekeys[.]com
applications-pour-pc[.]com
bagas3-1[.]com
seostar2[.]xyz
keygenwin[.]com
nuage27[.]xyz
touspcsoftwares[.]info
deepprostore[.]com
numéro de série[.]info
steamunlocked[.]un
fichier-store2[.]xyz
reallkeys[.]com
fullcrackedz[.]com
softwaresdaily[.]com
officiels-kmspico[.]com
hotbuckers[.]com
mycrackfree[.]com
procfullcracked[.]com
idmfullcrack[.]info
drake4[.]xyz
crackedsofts[.]info
getintopc[.]numérique
piratespc[.]net
apxsoftwares[.]com
crackfullpro[.]com
toutcrackici[.]info
kuyhaa-moi[.]pw
crackplace[.]com
freepccrack[.]com
proapkcrack[.]com
crackfullpc[.]com
Gratuit-4payé[.]com
lien fissuré[.]com
crackpropc[.]com
cracktube[.]net
getmacos[.]org
getwindowsactivateur[.]info
playzipgames[.]co
proactivationkey[.]com
procracfree[.]com
showcrack[.]com
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »