Почему софты из телеги - кал
Всех приветствую! На связи админ канала Falcon Bytes.
В последнее время с распространением тенденции доксов и сватов появилось очень много говнокодеров, которые продают свои софты по "пробиву". Многие пользователи таких говнософтов даже не задумываются о рисках при использовании таких програм.
Сегодня разберем примеры таких софтов и посмотрим, что такого плохого могут скрывать барыги-говнокодеры.
А в чем проблема?
Проблема в том, что из-за обфускации и конвертации файлов в .exe формат их становится трудно прочитать а для новичков вообще это почти невозможно.
Недобросовестный разраб софтины может засунуть в свое детище буквально все, что угодно. От логгера до всевозможных стиллеров кук, тдат и прочих важных для вас файлов, после чего вы будете в недоумении, почему же у вас угнали аккаунт в игре, дискорде или телеге. Я не говорю, что каждый софт, который вы видите содержит в себе стиллер, однако всегда есть ненулевая вероятность, что малварь в софте будет. Если софт работает - еще не значит, что в нем нету стиллера.
Рассмотрим конкретный пример, который я сохранил специально на этот случай:
"Круто, на халяву выложили софт, сейчас буду заниматься доксбином по крупному".
Для начала чисто ради интереса посмотрим, что об этом шедевральном софте говорит Virustotal:
Выглядит очень безопасно, не так ли?
"ыыы детекты на вирустотале ненастоящие там ничего нет "
Посмотрим на описание программы подробнее:
Спрашивается: нахуя оффлайн программа отправляет непонятные запросы на сервера телеграма и ipify.org?
Ответ: как минимум чтобы спиздить ваш IP-Адрес и отправить его через бота в телеге.
Декомпилируем ехе в нормальный вид и смотрим исходный код:
Очень смешно, что даже в такой калософт он добавил блек лист по предположительно его номерам и его дружков.
Здесь мы четко можем увидеть, что логи отправляются в канал. Бот был уже выебан вместе с логами.
Но что ему даст IP? Админ доебался до хуйни!
Что ж, посмотрим другой софт с того же канала, который админ выложил через пару дней после того, как ваш покорный слуга выебал предыдущего бота и канал с логами.
Как думаете, что же тут будет логгироваться. Как обычно, проверяем для начала на вирустотал.
На этот раз разраб шедеврософта отличился количеством детектов на его говнине.
Декомпилируем софтину и смотрим, что у нее под капотом.
Даже при частичной декомпиляции можно примерно понять содержимое файла
Находим дискорд вебхук. Вебхук тут используется в качестве сервера на который отправляются логи стиллера. Это можно понять посмотрев на репозитории гитхаб пользователя, ссылка на которого немного правее самого вебхука.
Здесь видим название стиллера, который зашит в этом говне. Оригинальный репозиторий этого стиллера был удален, однако на гитхабе есть форки.
Стиллер пиздит и отправляет в дискорд буквально все полезное, что может быть на вашем компе: дискорд токены, сохраненные данные банковских карт, проверяет наличие нитро на вашем аккаунте, парсит список серверов на которых вы сидите и друзей которые у вас записаны. Кроме того пиздятся ваши куки, пароли и прочие данные, которые уж точно не должен никто видеть.
И такое говно может сбилдить каждый долбоеб. Самого функционала у этого софта даже не было, это тупо голый стиллер. Я думаю теперь вам не кажется таким безобидным подобное говно.
Также крайне не советую использовать софт который был обфусцирован. Код скрывают не забавы ради. Перед запуском софтины с обфускацией - спросите себя несколько раз: "Почему создатель этого софта не хочет, чтобы я увидел его код, что он в нем скрывает?"
Кроме всего этого в самих обфускаторах могут быть стиллеры, которые даже не будут пренадлежать автору софта, который был зашифрован при его помощи. То есть человек, который вам продает свой софт может даже не знать, что в обфускаторе, который он использовал есть склейка его исходного кода со стиллером или другим говном.
Не пользуйтесь говнософтами всяких мамкиных доксеров. Используйте свою голову и проекты с открытым исходным кодом, чтобы не было риска, что вы получите малварь на ваше устройство. Это касается не только компов, но и телефонов. Не думайте, что под термукс или подобные программы не существует вирусов. Они существуют, и их много.
На связи был админ канала Falcon Bytes.