VERSIONS DE PSIXBOT

Temps de lecture : 4 minutes

Introduction de PSIXBOT:

PsiXBot est un cheval de Troie voleur de données capable de récolter des données confidentielles et des mots de passe sur l'ordinateur d'une victime. Il peut voler des cookies, extraire les identifiants / mots de passe d'applications telles que Firefox et Microsoft Outlook, enregistrer les frappes de la victime, permettre aux criminels de visualiser / interagir à distance avec le bureau de la victime et peut même ajouter l'ordinateur de la victime à un botnet. Il se propage le plus souvent via des pièces jointes infectées, via des publicités en ligne contenant le bot et via d'autres méthodes d'ingénierie sociale.

Le malware PsixBot original a fait surface en novembre 2017 mais a subi un développement important avant d'arriver au format bêta en 2019. Il a depuis été développé plus avant et se trouve actuellement à la version 1.1.0.4 en février 2020:

PsixBot a été généré dans le framework .NET. Ce blog vous présente les différentes itérations de PsixBot pour illustrer comment les criminels en ligne mettent constamment malware pour améliorer ses performances et ses fonctionnalités.

Comportement de PsixBot

PsixBot modifie les paramètres du certificat système, ce qui lui donne des droits d'accès utilisateur pratiquement illimités sur la machine hôte:

Clés ajoutées:

KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Valeurs ajoutées:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..

Fichiers ajoutés:

C: Documents et paramètres Administrateur Données d'application

MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

1.0.0 beta

La première version de PsixBot traitée dans ce blog est la Beta 1.0.0 avec la classe principale 11. Chaque classe a sa tâche individuelle. Les classes de base suivantes sont utilisées dans toutes les versions de PsixBot:

• Discussion sur le serveur - utilisé pour initialiser la variable globale, créer la connexion avec le serveur du vaisseau mère et envoyer les résultats dans les deux sens.
• Exécuter en mémoire - utilisé pour exécuter réellement le fichier.
• SysInfo - utilisé pour obtenir des informations sur le système de l'utilisateur, y compris le nom de l'antivirus, le processeur, la version de Windows, le type d'utilisateur et les autorisations de l'utilisateur.
• AttraperFinSession - utilisé pour créer des autoruns cachés.
• Supprimer l'attribut - utilisé pour tuer le système logiciel antivirus, L'Explorateur Windows et toutes les alertes d'erreur système.
• EstAdmin - utilisé pour assumer l'appartenance au groupe d'administration.
• EstVm - détecte la présence de toutes les machines virtuelles.
• Bit de résolution - utilisé pour résoudre les requêtes DNS de l'utilisateur.
• RC4 - l'algorithme utilisé pour crypter et décrypter les données.
• Installer - installe le fichier bot et configure les modules de sécurité et de mise à jour du fichier.

Version 1.0.2

La bêta 1.0.2 a conservé la fonctionnalité de classe de base de la première version, mais a renommé certaines des classes comme suit:

• ServerTalk - renommé comme CpWorker
• RunInMemory - renommé comme MémoireModulesWorker
• SysInfo - renommé comme Aide système

… Et ajouté la classe suivante:

• DNSWorkerName - utilisé pour obtenir l'entrée d'hôte et envoyer un ping à l'hôte pour vérifier s'il est actif ou non.

Version 1.1

La version 1.1 a de nouveau conservé la même structure de classe que son prédécesseur, mais a ajouté la tâche suivante à la liste des fonctionnalités:

• Forfg - utilisé pour obtenir le chemin de la variable temporaire, définir le répertoire DLL et l'écrire dans un fichier .dat:

Version 1.1.0.2

La version 1.1.0.2 a vu une mise à jour par laquelle le FORG fonctionnalité a été combinée avec l'autre liste de fonctionnalités. Toutes les autres classes et activités sont restées les mêmes.

 

 

Version 1.1.0.4

Encore une fois, les classes de base sont restées les mêmes que la version précédente mais avec l'ajout de la classe suivante, importante

• GzipWebClient - utilisé pour décompresser les fichiers Gzip téléchargés par le bot:

 

 

 

 

 

Mises à jour de la liste des fonctionnalités

Enfileur - Appelez la fonction de thread utilisée pour exécuter le fichier et exécutez-le en mémoire (Exécuter en mémoire).

Clé du bot - PsixBot a un code commun, en durTouche d dans toutes les versions:

Activités du réseau- PsixBot utilise d'abord Google DNS puis communique plus tard avec son propre DNS:

Modules principaux par version

FeautersList par version

Trafic réseau

PsixBot se connecte initialement à Google DNS puis se connecte à son propre serveur DNS à greentowns.hk:

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

CIO

a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa                   09-04-2019        Beta 1.0.0

0956cec17f1a8801042b8e6628f54e3156d05918              26-08-2019        1.0.2

4d3b1bd14ca92609fa8d1a536d814fd0d54c5666              03-02-2020        1.1

a16c7263a36a235db8c71477be3f2442a8a5f894              04-02-2020        1.1.0.2

1e29be939667354a8fe9477179c6851622118e23             12-02-2020        1.1.0.4

 

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

 

Le poste VERSIONS DE PSIXBOT apparaît en premier sur Actualités et informations sur la sécurité Internet de Comodo.

• Coinsmart. Le meilleur échange Bitcoin et Crypto d'Europe.
• Platoblockchain. Intelligence métaverse Web3. Connaissance amplifiée. ACCÈS LIBRE.
• CryptoHawk. Radar Altcoins. Essai gratuit.
• Source : https://blog.comodo.com/comodo-news/versions-of-psixbot/