Versões do PsixBot | Tipos de comportamento do PsixBot

Tempo de leitura: 4 minutos

Introdução do PSIXBOT:

PsiXBot é um trojan de roubo de dados capaz de coletar dados confidenciais e senhas do computador da vítima. Ele pode roubar cookies, extrair logins/senhas de aplicativos como Firefox e Microsoft Outlook, registrar as teclas digitadas pela vítima, permitir que criminosos visualizem/interajam remotamente com a área de trabalho da vítima e pode até adicionar o computador da vítima a um botnet. É mais frequentemente espalhado por meio de anexos de e-mail infectados, por meio de anúncios on-line que contêm o bot e por outros métodos de engenharia social.

O malware PsixBot original surgiu em novembro de 2017, mas passou por um desenvolvimento significativo antes de chegar ao formato beta em 2019. Desde então, foi desenvolvido e atualmente está na versão 1.1.0.4 em fevereiro de 2020:

O PsixBot foi gerado no framework .NET. Este blog leva você pelas várias iterações do PsixBot para ilustrar como os criminosos online atualizam constantemente seus malwares para melhorar seu desempenho e recursos.

Comportamento do PsixBot

O PsixBot altera as configurações do certificado do sistema, o que lhe dá direitos de acesso de usuário praticamente ilimitados na máquina host:

Chaves adicionadas:

KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Valores adicionados:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..

Arquivos adicionados:

C: Documentos e configuraçõesAdministradorDados de aplicativos

MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

1.0.0 beta

A primeira versão do PsixBot abordada neste blog é a Beta 1.0.0 com a classe principal 11. Cada classe tem sua tarefa individual. As seguintes classes básicas são usadas em todas as versões do PsixBot:

• Conversa de servidor – usado para inicializar a variável global, criar a conexão com o servidor da nave-mãe e enviar resultados para frente e para trás.
• Executar na memória – usado para realmente executar o arquivo.
• Sysinfo – usado para obter informações sobre o sistema do usuário, incluindo nome do antivírus, CPU, versão do Windows, tipo de usuário e permissões do usuário.
• CatchEndSession – usado para criar autoruns ocultos.
• Excluir atributo – usado para matar o sistema software antivírus, Windows Explorer e quaisquer alertas de erro do sistema.
• ÉAdmin – usado para assumir a participação no grupo de administradores.
• ÉVm – detecta a presença de qualquer máquina virtual.
• ResolverBit – usado para resolver solicitações de DNS do usuário.
• RC4 – o algoritmo usado para criptografar e descriptografar dados.
• Instale – instala o arquivo bot e configura os módulos de segurança e atualização do arquivo.

versão 1.0.2

Beta 1.0.2 manteve a funcionalidade de classe básica da primeira versão, mas renomeou algumas das classes da seguinte forma:

• ServerTalk - renomeado como CpWorker
• RunInMemory – renomeado como MemoryModulesWorker
• SysInfo - renomeado como SysHelperName

… e adicionei a seguinte classe:

• DNSWorker – usado para obter a entrada do host e pingar o host para verificar se ele está ativo ou não.

versão 1.1

A versão 1.1 novamente manteve a mesma estrutura de classe de seu predecessor, mas adicionou a seguinte tarefa à lista de recursos:

• Forfg- usado para obter o caminho para a variável temp, defina o diretório DLL e grave-o em um arquivo .dat:

versão 1.1.0.2

A versão 1.1.0.2 viu uma atualização em que o FORFG recurso foi combinado com a outra lista de recursos. Todas as outras aulas e atividades permaneceram as mesmas.

versão 1.1.0.4

Novamente, as classes básicas permaneceram as mesmas da versão anterior, mas com a adição das seguintes classes importantes

• GzipWebClientName – usado para descompactar qualquer arquivo Gzip baixado pelo bot:

Atualizações da lista de recursos

Enfiador - Invoque a função de thread usada para executar o arquivo e execute-o na memória (Executar na memória).

Chave Bot - O PsixBot tem um código comumd chave em todas as versões:

Atividades em Rede– O PsixBot inicialmente usa o DNS do Google e depois se comunica com seu próprio DNS:

Módulos principais por versão

FeautersList por versão

Tráfego de rede

O PsixBot se conecta inicialmente ao DNS do Google e depois se conecta ao seu próprio servidor DNS em cidades verdes.hk:

193.32.188.136 (cidades verdes.hk)

185.98.87.59 (cidades verdes.hk)

COI

a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa                   09-04-2019        Beta 1.0.0

0956cec17f1a8801042b8e6628f54e3156d05918              26-08-2019        1.0.2

4d3b1bd14ca92609fa8d1a536d814fd0d54c5666              03-02-2020        1.1

a16c7263a36a235db8c71477be3f2442a8a5f894              04-02-2020        1.1.0.2

1e29be939667354a8fe9477179c6851622118e23             12-02-2020        1.1.0.4

193.32.188.136(cidadesverdes.hk)

185.98.87.59(cidadesverdes.hk)

COMECE O TESTE GRÁTIS OBTENHA SEU SCORECARD DE SEGURANÇA INSTANTÂNEO GRATUITAMENTE

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://blog.comodo.com/comodo-news/versions-of-psixbot/