Scam-research или как простой "чекер" соскамил уже около 3К сибилов-кошельков

I ЧАСТЬ ЛИКБЕЗ О ДОСТАВКЕ ВИРУСОВ В СИСТЕМУ

Для того, чтобы заразить целевую машину необходимо обязательно скачать какой-то *.exe (эгзэшник) файл и выполнить его от администратора

Нет, не обязательно. И к слову так уже никто вирусы не доставляет.

ВЕКТОР АТАКИ

• Эксплоит браузера
• Уязвимость в расширении

• Через уязвимость в мессенджер'е (Discord/Telegram) (открытие картинки etc)
• Уязвимость в приложении (например WinRAR CVE-2023-40477)

• Через выполнение js-скрипта внутри pdf
  

От: *** (Richard M. Smith)
To:	 <***>
Тема: Файлы Adobe PDF могут использоваться в качестве носителей вирусов
Date:	 Tue, 7 Aug 2001 11:44:20 -0400

Здравствуйте,

Это интересное событие.  Zulu, вирусописатель из Южной
Америки, похоже, обнаружил, что файлы Adobe PDF могут использоваться для переноса компьютерных вирусов.
компьютерных вирусов.  Подробности приведены в прилагаемом описании.
Его маленькая хитрость использует PDF-файл для обхода новой функции безопасности Outlook, которая автоматически удаляет опасные вложения файлов.
Outlook, которая автоматически удаляет опасные вложения.  С помощью
Эта функция безопасности удаляет все вложения с VBScript, поскольку они
поскольку они могут быть компьютерными вирусами.  Однако с помощью трюка Zulu вредоносный
VBScript-файл может быть спрятан в PDF-файле, который Outlook считает безопасным.
считает безопасным.

Я не верю, что положения DCMA о борьбе с исследованиями в области безопасности и обратным проектированием
положения DCMA, но, учитывая недавние действия Adobe в отношении Дмитрия Склярова, я считаю, что это не так.
против Дмитрия Склярова, я рекомендую проявлять некоторую осторожность всем, кто изучает эту потенциальную проблему безопасности в Adobe Acc.
с этой потенциальной проблемой безопасности в Adobe Acrobat Reader.  A
возможно, будет разумно поговорить с юристом.

Еще один интересный вопрос - могут ли электронные книги в формате Adobe также выступать в качестве носителей компьютерных вирусов?
в качестве носителей компьютерных вирусов.

Ричард М. Смит
технический директор, Privacy Foundation
http://***

Червь на языке VBScript. Он использует OUTLOOK для отправки себя в файле PDF (portable document format).
PDF (portable document format) файл (впервые
использование этого типа файлов).
При открытии с помощью Acrobat он показывает изображение с мелкой игрой.
Показ решения этой
игры заключается в двойном щелчке на аннотации к файлу, который после
после предупреждения будет запущен файл VBS,
VBE или WSF (в зависимости от версии червя).
VBScript-файл создаст и покажет JPG-файл с решением игры, а также попытается отобразить его на экране.
игры и попытается
найти PDF-файл для его распространения. Это необходимо, поскольку при
используется ссылка, Acrobat
создаст файл VBS, VBE или WSF во временном каталоге Windows и
и запустит этот файл,
поэтому этот файл VBScript не знает пути к распространяемому PDF-файлу.
Затем он запустит код распространения, используя способ использования OUTLOOK, не встречавшийся ранее ни в одной программе.
не встречавшийся ранее ни в одном
червя (подробности распространения можно найти в разделе возможностей этого
файла).
Пароль для изменения параметров безопасности PDF-файла имеет следующий вид
"OUTLOOK.PDFWorm".
Этот червь предназначен для проверки концепции, он имеет плохие возможности распространения
возможности распространения, только
необходимые для того, чтобы называться червем. Кроме того, поскольку аннотации к файлам доступны только
доступны только в полной
Акробат, этот червь не будет работать в Acrobat Reader.

Особенности:

- Использует расширение PDF, не встречавшееся ранее ни в одном вирусе/черве.
- OUTLOOK распространяется с использованием нового кода, а не классического кода Мелиссы и его вариаций, таких как
его вариации, как
  например, от Freelink.
  Этот новый метод позволяет получить адреса получателей всех писем
в любой папке OUTLOOK
  и из всех записей адресной книги (но при этом берутся первые три
адреса каждого контакта, а не
  только первый, как в большинстве червей OUTLOOK).
  Этот новый метод основан на возможности получения контактов из
папки OUTLOOK вместо того, чтобы
  а не использовать объекты, предназначенные для чтения адресных книг. Таким образом, код будет
заглянет во все папки OUTLOOK
  и если элементы в них являются письмами или контактами, то он получит эти адреса.
получит эти адреса.
  Тема, тело и имя вложения будут выбраны из некоторого случайного набора
вариантов. Кроме того, программа
  ограничение количества писем до 100.
  Программа будет запущена только один раз на каждом компьютере, так как она использует реестр
для проверки того, был ли он
  уже запущен.
- Хорошая социальная инженерия. Я даже думаю, что этот PDF-файл будет
вручную отправят многие из
  пользователей, которые не устают посылать глупые шутки :).
- Чтобы найти PDF-файл, если установлен Word, он будет использовать его для поиска.
поиск, если Word не установлен

 установлен, он будет искать файл с помощью кода VBScript, ища его по
многих общих путях и
  всех подкаталогах этих путей. Оба метода будут искать PDF
файлы, размер которых
  схожим с размером оригинальной копии червя.
- Использует кодировку скриптов (в версиях 1.1 и 1.2).
- При запуске VBScript-файл показывает JPG-файл, поэтому он будет показывать то, что ожидает пользователь.
что ожидает пользователь.

Общая информация:

Я начинал другой проект, гораздо более крупный и с хорошими возможностями по распространению
возможностями. Но этот проект
сильно затянулся из-за проблем со временем, поэтому я решил попробовать сначала с файлами PDF
файлами, а затем
продолжить работу с другим червем, когда у меня появится время.
Я увидел четыре возможности:

- Использование JavaScript с методом "mailMsg".
  Это сработает только в полной версии Acrobat.
  Используя метод "mailMsg" (который использует MAPI), я мог бы послать сообщение электронной почты, когда
сообщение по электронной почте, когда
  открытии документа (действие открытия страницы).
  Но проблема заключалась в том, что я не мог получить адреса электронной почты, на которые можно было бы отправить сообщение.
отправить сообщение.
- Используя меню Acrobat.
  Это работает только в полной версии Acrobat.
  Я мог бы использовать пункт меню "Отправить почту...", вызывая его при
открытии документа (открытие страницы
  действие). При этом будет открываться окно почтового клиента по умолчанию с
уже добавленным вложением
  добавленным вложением.
  Здесь проблема заключалась в том, как передать необходимые ключи для отправки
сообщение, которое уже было
  открыто в этом окне.


- Используя действие open file.
  Оно будет работать в Acrobat и в Acrobat Reader. При этом выводится предупреждение.
  Создав действие открытия файла при открытии документа, я мог бы
запустить любой файл с любым
  кодом внутри него.
  Но проблема заключалась в том, что у меня не было файла для запуска. Этот метод может работать
для трояна, запускающего
  "FORMAT.COM", но не для червя.
- Использование аннотации к файлу.
  Этот способ работает только в полной версии Acrobat. При этом выводится
предупреждение.
  Создав файловую аннотацию с моим файлом, встроенным в PDF-файл, я
Я могу запустить свой код.
  Acrobat создаст встроенный файл во временном каталоге и
запустит файл
  оттуда.
  При этом возникали две проблемы. Первая заключалась в знании пути к PDF-файлу.
решалась поиском
  файла на жестком диске, поскольку поиск в имени задачи дал бы только
даст только имя файла, а не
  полный путь. Другая проблема заключается в том, что невозможно открыть
аннотацию к файлу
  автоматически при открытии PDF-файла, поскольку для этого не предусмотрено никаких действий.
для этого, и, похоже что нет возможности получить файл с помощью JavaScript-кода, поэтому необходимо, чтобы
необходимо, чтобы пользователь вручную дважды щелкал по аннотации к файлу. Эта последняя проблема
не была решена.

В общем суть эксплуатации всех вышеперечисленных уязвимостей - доставить бинарник (исполняемый файл) либо dll-библиотеку(Windows) на целевую машину.

Это можно сделать через:

• Выполнение js-скрипта в зараженном расширении браузера, у которого есть на эта соответствующее разрешение (их целых 17К)
• Выполнение курл-запроса в Linux/Mac
• Выполнение js/vbs/ps1/bat/cmd скрипта в Windows, который не обязательно загружать напрямую, он может выполнится фоновом режиме

II КАК ЭТО ПОЛУЧИЛОСЬ?

Уже созданные целые группы с жертвами, в которых собрались пользователи разных операционных систем, юзеры "антидетект-браузеров" и обычные православные сибилы, которые: никакие скрипты не юзали.

Я так понял, что никто ничего не понял и не нашёл связи между юзерами Mac/Windows/Linux. Потому что искать связь нужно было не в системе, а в посещаемых общих сайтах.

Как всеобщими усилиями выяснилось, что секрет скама крылся в безобидном сайте чекере активностей zk (он возможно уже не один, так что это ещё не конец истории):

Пообщавшись с несколькими жертвами, я собрал примерно четыре разных трояна:

Суть доставки довольно проста: выполнить запрос к удаленному серверу и скачать зараженную dll-библиотеку для замены системной примеры библиотек:

• User32.dll
• scrobj.dll

это может быть абсолютная любая служба, системный процесс или даже компонент вашего "антидетект-браузера" с 1000+ аккаунтов

МИФ ОБ АКТИВАЦИИ Windows через KMS-сервер

Также были подозрения, что активировав Windows через сторонний KMS-сервер, можно было подцепить вирус. Это не правда, так как для активации используется встроенная служба Windows, которая просто отправляет запрос на валидацию на сторонний kms-сервер. Но я не говорю про случаи, когда пользователь скачивает *.exe kms-активатора, это уже другая история.

III КАК СЕБЯ ОБЕЗОПАСИТЬ — ИЛИ БАЗОВАЯ ЦИФРОВАЯ ГИГИЕНА ПРИ РАБОТЕ С МЕТАМАСК-БЛОКЧЕЙНАМИ

Универсального метода защиты как такового не существует, а защиты от дурака тем более.
Но стоит заметить, что этого не просто троян, а целевая атака Браина Пелегрино на СНГ-сибилов вполне грамотно организованный скам с помощью полезной тулзы

Но по многочисленным просьбам ещё раз перечислим то чего нельзя делать на рабочей машине (операционная система значения не имеет):

• Хранить приватные ключи в гугл-таблицах, будучи авторизированным в браузере с аккаунта.
• Хранить приватные ключи в избранном в Телеграме
• Хранить приватные ключи в заметках во Vkontakte
• Хранить приватные ключи в открытом виде в txt-файле
• Устанавливать ломанный софт с ноунейм варезных сайтов
• Качать торренты
• Использовать Яндекс браузер
• Открывать pdf от ноунеймов (и не только)
• Ставить левые расширения рядом с криптокошельком
• Использовать простой пароль для открытия криптокошелька
• Открывать rar-архивы без проверки на вирусы
• Скачивать файлы через Discord или другой мессенджер
• Переходить на неизвестные сайты
• Использовать "антидетект-браузер" (были преценденты слива БД и фейковых расширений в магазине)
• Не пользоваться закрытым софтом для прогона аккаунтов, если вы не понимаете как он работает или не уверены в авторе.
• Не пользоваться открытым софтом для прогона аккаунтов если вы в нем не уверены.

IV БАЗОВЫЕ МЕРЫ ПРЕДОСТОРОЖНОСТИ ПРИ СЁРФИНГЕ В WEB3

• Если вы обычные пользователь, то стоит использовать какой-то антивирус
• Не использовать учетную запись root/администратора
• Использовать свой желательно VPN (устанавливается одной командой)
• Лучше использовать Cloudflare DNS( DNS over HTTPS) в браузере, либо альтернативный метод фильтрации загружаемого контента
• Блокировщик рекламы среди расширений я не советую, также лучше использовать фильтрацию DNS-запросов (Например Adguard ) желательно в настройках самого роутера (можно и Яндекс DNS, но лучше нет, вместо да)

• Проверять куда переходите предварительно через virustotal.com
• Не подключать кошелёк к неизвестным сайтам (банально, но всё же)
• Не арендовать vps-сервера от СНГ-провайдеров (не стоит рисковать)
• Диверсификация ваших приватников, браузеров и устройств (тоже банально, но для некоторых не очевидно)

Всем удачного абьюза L0/Starknet/zkSync )) и оставайтесь сафу !