我最近愚蠢地骗了我的一个不和谐帐户,但保留了恶意软件以防万一。
好奇,我今天很想闯入可执行文件以获取有关诈骗者的任何信息。
我用IDA反编译了这个程序,发现它是一个NodeJS程序。但是,我仍然找不到盗取我令牌的诈骗者的实际代码......我确信他正在调用一个网络钩子,连接到一个机器人或其他东西,将他的令牌留在里面。
我可以在 IDA 中看到对一个文件夹的多次调用,这个文件夹.nexe/在我看来就像使用的编译器的名称:nexe。
有没有人有反编译 NodeJS 应用程序的技巧?我在逆向工程方面几乎不陌生,所以如果有人可以让我提示反编译它......
我不知道 nexe 是否混淆了代码,是否有更好的 NodeJS 可执行文件反编译器应用程序。
这是我能找到的最完整的这个恶意软件的源代码。它的恶意软件被称为海盗窃取者:https : //github.com/teddybearsz/shitasssrcdonttouchitpleasepleaseplease/tree/ddc994942e2c0a79fc5d5e54d4a0e158fa0e5d51/src/
因此,总体而言,PirateStealer(用 node.js 编写并用 nexe 编译)是 ksgrabber(用 C# 编写)的演变,由 Stanley-GF 在 GitHub https://github.com/masamesa/KSGrabber-MalwareAnalysis(见https://github.com/masamesa/KSGrabber-MalwareAnalysis/issues/1 )
看看这里的推特链接:
https://twitter.com/MasaMesa_/status/1435179217248034819 https://twitter.com/MasaMesa_/status/1469617216261926916 和下面的流程图。
PirateStealer 由Stanley-GF、bytixo、Minehacker765和syndrvme在 GitHub 上制作。
许多支持此功能的端点已被删除。https://stealer.re/似乎在下降了一段时间后又恢复了,所以他们可能已经更新了他们的/injection端点,该端点加载到 JS 中,这些端点被捆绑到不和谐(和/或 BetterDIscord)的.asar文件中。
我已经向 AWS 提交了滥用报告,AWS 是一个 ISP(congent),在波兰https://bgp.he.net/ip/95.214.54.208有一个 CIDR 块,该文件在路径https://gist 上托管/injection 。 github.com/AskAlice/2fe11591adc820d038529e7c0908d0fd
在运行时查询的域名 primefa.xyz 解析为上述 IP,但不再是因为 ICANN 在向拉斯维加斯的 .xyz TLD 报告后将该域搁置。
https://github.com/stanley-gf/piratestealer
斯坦利的领导比他付出的要多。他的 GitHub 个人资料声称他 13 岁,并后悔制作了恶意软件,但从我朋友获得的屏幕截图来看,他正在努力让他的端点在因滥用报告而被关闭时恢复正常。
在stealer.re 上,您可以输入一个webhook 和一个.ico文件,它会为您构建一个可以使用的EXE。
如果您查看 /injection 负载发送的 webhooks,然后向它发出不带任何参数的 GET 请求,它会向您显示这一点
https://p9iprsfdr7.execute-api.us-east-2.amazonaws.com/default/EmailChanged
How did you manage to find the url vmro? Join: https://discord.gg/NmatMp9K5V and I gib u party vmro!
