ВЕРСІЇ PSIXBOT

Час читання: 4 протокол

Представлення PSIXBOT:

PsiXBot — це троян, що викрадає дані, здатний збирати конфіденційні дані та паролі з комп’ютера жертви. Він може красти файли cookie, отримувати логіни/паролі з таких програм, як Firefox і Microsoft Outlook, записувати натискання клавіш жертви, дозволяти злочинцям дистанційно переглядати/взаємодіяти з робочим столом жертви і навіть може додати комп’ютер жертви до ботнету. Найчастіше він поширюється через заражені вкладення електронної пошти, через онлайн-рекламу, яка містить бота, та через інші методи соціальної інженерії.

Оригінальне зловмисне програмне забезпечення PsixBot з’явилося в листопаді 2017 року, але зазнало значного розвитку, перш ніж з’явитися у форматі бета-версії в 2019 році. Відтоді воно було вдосконалено й наразі має версію 1.1.0.4 у лютому 2020 року:

PsixBot був створений у .NET framework. Цей блог проведе вас через різні ітерації PsixBot, щоб проілюструвати, як онлайн-злочинці постійно оновлюють свої шкідливих програм щоб покращити його продуктивність і функції.

Поведінка PsixBot

PsixBot змінює параметри системного сертифіката, що дає йому практично необмежені права доступу користувачів на головній машині:

Додані ключі:

KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Додані значення:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..

Додані файли:

C:Документи та налаштуванняАдміністраторДані програми

MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

бета-1.0.0

Перша версія PsixBot, про яку йдеться в цьому блозі, — це Beta 1.0.0 з базовим класом 11. Кожен клас має окреме завдання. Наступні базові класи використовуються у всіх версіях PsixBot:

• Servertalk – використовується для ініціалізації глобальної змінної, створення з’єднання з материнським сервером і надсилання результатів вперед і назад.
• RunInMemory – використовується для фактичного виконання файлу.
• sysinfo – використовується для отримання інформації про систему користувача, включаючи назву антивіруса, ЦП, версію Windows, тип користувача та дозволи користувача.
• CatchEndSession – використовується для створення прихованих автозапусків.
• DeleteAttrib – використовується для знищення системи антивірусне програмне забезпечення, Windows Explorer і будь-які сповіщення про системні помилки.
• IsAdmin – використовується для припущення членства в групі адміністратора.
• IsVm – виявляє наявність будь-яких віртуальних машин.
• ResolveBit – використовується для вирішення запитів DNS від користувача.
• RC4 – алгоритм шифрування та дешифрування даних.
• Встановлювати – встановлює файл бота та налаштовує модулі безпеки та оновлення файлу.

версія 1.0.2

Бета-версія 1.0.2 зберегла основні функції класів першої версії, але перейменувала деякі класи наступним чином:

• ServerTalk – перейменовано як CpWorker
• RunInMemory – перейменовано як MemoryModulesWorker
• SysInfo – перейменовано як SysHelper

… і додав наступний клас:

• DNSWorker – використовується для отримання запису хоста та перевірки хосту, чи він працює.

версія 1.1

Версія 1.1 знову зберегла ту саму структуру класів, що й її попередниця, але додала наступне завдання до списку функцій:

• Forfg – використовується для отримання шляху до тимчасової змінної, встановіть каталог DLL і запишіть його у файл .dat:

версія 1.1.0.2

У версії 1.1.0.2 було оновлено FORFG функцію було об’єднано з іншим списком функцій. Усі інші заняття та види діяльності залишилися без змін.

 

 

версія 1.1.0.4

Знову ж таки, основні класи залишилися такими ж, як і в попередній версії, але з додаванням наступного важливого класу

• GzipWebClient – використовується для розпакування будь-яких файлів Gzip, завантажених ботом:

 

 

 

 

 

Оновлення списку функцій

ниткоріз – Викликати функцію потоку, яка використовується для запуску файлу, і запустити його в пам’яті (RunInMemory).

Ключ бота - PsixBot має звичайний жорсткий кодd ключ у всіх версіях:

Мережеві дії– PsixBot спочатку використовує Google DNS, а потім зв’язується зі своїм власним DNS:

Основні модулі на версію

FeautersList для версії

Мережевий трафік

PsixBot спочатку підключається до Google DNS, а потім підключається до власного DNS-сервера за адресою greentowns.hk:

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

МОК

a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa                   09-04-2019        Beta 1.0.0

0956cec17f1a8801042b8e6628f54e3156d05918              26-08-2019        1.0.2

4d3b1bd14ca92609fa8d1a536d814fd0d54c5666              03-02-2020        1.1

a16c7263a36a235db8c71477be3f2442a8a5f894              04-02-2020        1.1.0.2

1e29be939667354a8fe9477179c6851622118e23             12-02-2020        1.1.0.4

 

193.32.188.136(greentowns.hk)

185.98.87.59(greentowns.hk)

 

Повідомлення ВЕРСІЇ PSIXBOT вперше з'явився на Новини Comodo та інформація про безпеку в Інтернеті.

• Coinsmart. Найкраща в Європі біржа біткойн та криптовалют.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. БЕЗКОШТОВНИЙ ДОСТУП.
• CryptoHawk. Альткойн Радар. Безкоштовне випробування.
• Джерело: https://blog.comodo.com/comodo-news/versions-of-psixbot/