Кот атакует! Изучаем открытый стилер StormKitty - «Новости»

warning

Ав­тор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с исполь­зовани­ем матери­алов этой статьи. Рас­простра­нение вре­донос­ных прог­рамм, несан­кци­они­рован­ный дос­туп к информа­ции, наруше­ние тай­ны перепис­ки — уго­лов­ные прес­тупле­ния. При про­веде­нии тес­тов на про­ник­новение необ­ходим пись­мен­ный договор с заказ­чиком.

Лапки многофункциональные

Что вооб­ще может наш кот? По завере­нию ав­тора — мно­го чего. Тут и сама кра­жа дан­ных, и фин­гер­прин­тинг сис­темы, и даже более прод­винутые фун­кции, вро­де про­тиво­дей­ствия ана­лизу и встро­енно­го в сбор­щик обфуска­тора. Толь­ко за пивом ходить не уме­ет! Вот пол­ный спи­сок заяв­ленных фун­кций:

• 
  Ан­тиана­лиз. Сюда вхо­дит обна­руже­ние вир­туаль­ных машин Hyper-V, VirtualBox и VMware (по иден­тифика­торам вир­туаль­ного обо­рудо­вания), песоч­ниц Sandboxie и COMODO (по спис­ку про­цес­сов), а так­же ана­лиза на VirusTotal и Any.Run. Защита от запус­ка в сис­темах онлайн‑ана­лиза про­веря­ет, не при­над­лежит ли внеш­ний IP хос­тинг‑про­вай­деру, а анти­дебаг­гер прос­то дер­гает WinAPI-фун­кцию CheckRemoteDebuggerPresent. Чес­тно говоря, я ожи­дал тут чего‑то боль­шего.


• 
  Фин­гер­прин­тинг. Собира­ет вер­сию ОС, модель и харак­терис­тики цен­траль­ного про­цес­сора и GPU, све­дения об опе­ратив­ной памяти, IP-адре­сах, BSSID окру­жающих точек дос­тупа, геоло­кацию, информа­цию об экра­не и уста­нов­ленных прог­раммах. Спи­сок вну­шитель­ный, и StormKitty генери­рует даже иден­тифика­тор сис­темы, поз­воля­ющий однознач­но опре­делить компь­ютер. В довесок уле­тают ключ акти­вации сис­темы и спи­сок про­цес­сов.


• 
  По­хище­ние дан­ных из бра­узе­ров. Под раз­дачу (точ­нее, сбор) попада­ют бра­узе­ры на Chromium (похища­ются пароли, дан­ные карт, cookies, исто­рия, дан­ные авто­запол­нения и зак­ладки), Firefox (cookies, исто­рия и зак­ладки, а так­же про­чие фай­лы БД из пап­ки бра­узе­ра), Internet Explorer и Microsoft Edge (из них дос­тают­ся толь­ко пароли).


• 
  Ин­форма­ция о сетях Wi-Fi. Сти­лер отпра­вит тебе сох­ранен­ные сети и резуль­таты ска­ниро­вания дос­тупных сетей (тог­да в отчет попада­ют SSID и BSSID най­ден­ных точек дос­тупа).


• 
  Сбор фай­лов с компь­юте­ра. Докумен­ты, кар­тинки, исходный код, базы дан­ных — в общем, все, что может пред­став­лять цен­ность. Сти­лер так­же уме­ет работать с флеш­ками. В коде ука­заны фор­маты фай­лов, которые будут похище­ны. И если с кар­тинка­ми и докумен­тами все более‑менее пред­ска­зуемо, то исходно­го кода автор решил наворо­вать впрок: в спис­ке похища­емых — язы­ки C, C++, C#, ассем­блер, Bash, Python, HTML и CSS (WTF?), PHP, Go, jаvascript, Ruby, Perl, Swift, Java и Kotlin.


• 
  Об­наруже­ние бан­ков­ских и крип­товалют­ных сер­висов в бра­узе­рах. Если фун­кции выше еще мож­но при­тянуть за уши к закон­ным целям, то ковырять финан­совые сай­ты — однознач­но зло. Мы эту фун­кцию не тес­тирова­ли и тебе не рекомен­дуем.


• 
  Кра­жа сес­сий из игро­вых плат­форм. Сюда вхо­дят Steam, Uplay, Battle.Net и, конеч­но, все­ми любимый Minecraft.


• 
  Ус­танов­ка кей­лог­гера и клип­пера. Если с кей­лог­гером все понят­но, и в одной из прош­лых ста­тей я даже по­казы­вал, как его сде­лать самос­тоятель­но, то клип­пер не такой извес­тный вид вре­доно­са. Его суть в том, что он ищет в буфере обме­на опре­делен­ную информа­цию и под­меня­ет ее дру­гой. Типич­ный при­мер — адре­са кошель­ков Bitcoin и дру­гих крип­товалют, которые вруч­ную набирать мало кто реша­ется. Хоба — и адрес под­менен, а дра­гоцен­ные бит­кой­ны уле­тели на левый кошелек.


• 
  Скрин­шоты с экра­на и камеры. Автор заяв­ляет, что камера будет акти­виро­вать­ся, ког­да поль­зователь будет замечен за прос­мотром неп­ристой­ного кон­тента.


• 
  Кра­жа акка­унтов VPN. В спис­ке есть ProtonVPN, OpenVPN и NordVPN.


• 
  Сбор кри­тичес­ких фай­лов локаль­ных кошель­ков. Да‑да, трой име­ет спе­циали­зиро­ван­ную фун­кцию даже для это­го. Неуди­витель­но, что рань­ше он про­давал­ся на под­поль­ных форумах. Что каса­ется под­вержен­ных рис­ку кошель­ков, то это Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, AtomicWallet, Guarda и Coinomi. Смею наде­ять­ся, что ты никог­да не при­менишь эту фун­кцию.


• За­пись струк­туры дирек­торий.


• 
  Ко­пиро­вание сес­сий Telegram. При этом зло­умыш­ленник будет исполь­зовать тот же токен, что и ори­гиналь­ный поль­зователь, так что лиш­них записей в спис­ке активных сеан­сов не появит­ся.


• 
  Ак­каун­ты Outlook, Pidgin, Skype, Discord и Filezilla. Тут без ком­мента­риев.


• 
  Ав­тозаг­рузка. Было бы стран­но, если бы ее не было. Реали­зова­на она неожи­дан­но прос­то: исполня­емый файл наг­рузки прос­то копиру­ется в пап­ку авто­запус­ка — никаких тебе реес­тров и пла­ниров­щиков.

Как видишь, набор фун­кций весь­ма обширный (и доб­рая полови­на воз­можнос­тей даже близ­ко не похожа на закон­ные). Но, нес­мотря на это, выход­ной билд занима­ет все­го 239 Кбайт и все зависи­мос­ти встро­ены.

Установка

Ес­ли ты ска­чал исходни­ки, то при­дет­ся сна­чала соб­рать их. Код написан на C# и хорошо чита­ется, так что мож­но «на живом паци­енте» изу­чать устрой­ство подоб­ных прог­рамм. Для сбор­ки я исполь­зовал Visual Studio 2019 с уста­нов­ленным ком­понен­том .NET desktop development. Все ском­пилиро­валось сра­зу и без фокусов — уди­витель­но!