March 11, 2020

Redline - новая поделка от всем известного Дендмирора и его собачки Алинчока

Цель этой статьи, ни в коем случае не оскорбление, а просто анализ нового продукта для того чтобы вы видели представление обо всем этом.Ну что? Начинаем

Кто же такой Алинчок?

А теперь я постараюсь доказать, почему это 3 одинаковых человека

Билд URI ботнета я к сожалению не нашел, зато на каком-то гите он валяется разобранным

Вкратце расскажу принцип его старта

Благодаря дропперу, идет запрос на сервер, после чего дроппер получает в b64 код программы, компилирует и запускает

Глянем на Mystery

Здесь особо логика не изменилась

Здесь массив байтов в бейсе, который запускается через

Ну вы поняли

Ставим бряк перед инвоком и получаем чистый модуль

А теперь время сравнения с Redline

В данном проекте, кодер видимо понял, что нормально обфусцировать у него все равно не получится и полность отказался от нее, так что просто переносим билд в DNSPY

Правда похоже?

Особенно если сравнить некоторые участки кода

И такие куски везде, не считая JSON движка и SQLITE(ремейк SQLITE HANDLER), ведь они там просто одинаковые

Надоело копаться в билде, все исходники я приложу ниже, теперь приступим к анализу панельки

Начнем с редлайна

Он накрыт реактором, пропускаем через de4dot, радуемся, но нет тут то было

В либе, замаскированной под системную, лежит очень примитивная защита

Нопим выход и радуемся жизни

Но для полного счастья, нам нужно нужно обойти авторизацию

Для этого открываем сборку и нопим условие

Далее для создание кряка нужно заменить ссылку на дедик

Я был удивлен, айпишник дедика в открытом виде, походу кодерам поностью пофиг на вашу безопасность

Через IL редактор, его без проблем можно заменить на свой

У мистери логика ничем не отличается, только там вам в подарок к стиллеру за 5к могут подарить малварь на ваш пк)

Бонус за покупку так сказать

Редлайн - первый шарп стиллер сделавший поддержку хром 80

Здесь все довольно просто, используется враппер для библы Bounde Castle с гитхаба, кодер же просто правильно подставил код(хоть что-то нормально сделал)

А теперь немножно оффтопика

URI Botnet
Mystery Stealer

Правда очень похоже?Можете со мной не согласится

Ну а теперь, можно сделать вывод

Redline - очередная поделка от Dendmirrora, для которого забить хер на клиентов мистери, которым пол года обещал обнову ничего не стоит.

Возможно, через пол года, редлайн также уйдет в прошлое, а от этой шайки кидков, появится что-то новое, ведь новое - хорошо забытое старое)

Кряк стиллера Redline - https://anonfiles.com/N4h7edh3o5/Redline_Cracked_1_rar

Исходники Redline - https://github.com/borrcodes/Redline-Stealer

Исходники Mystery - https://github.com/borrcodes/Mystery_Stealer]

Всем спасибо за внимание)