Малвари: методы распространения, виды атак итд итп

ТЕМА НЕ МОЯ, ПЕРЕЗАЛИВ 23 ГОДА ОТ ОДНОГО УВАЖАЕМОГО ЧЕЛОВЕКА В УЗКИХ И НЕ ОЧЕНЬ КРУГАХ!

В конце 2022 года я написал статью по распространению малвари “Итоги 2022”, о видах атак, о методах распространения, о разных моментах работы с малварью.

С того момента ничего нового на форумах не появилось, кроме как бредовый “кашель” местных всезнаек в виде “ничего нового”, “я все это знаю” и подобное. То, что было описано в той статье в большей части стало не актуально. Статью я удалил, чтобы переписать ее по-новому.
Появилась идея разделить статью на разделы, сделать структуру, чтобы новичкам, а также бывалым было удобно читать и находить легко для себя нужную инфу.
​

Для тех кому лень читать, признайте, что еще не научились)
Для тех кто все знает, свапайте тему и удачи!
Для тех кто думает что я обязан осветить какие-то приватные методы или обязан вам заработать денег - идите нахуй.​

А мы продолжим...

Немного о малвари:

Многие из вас пользуются в основном таким видом малвари как *******, RAT, от самых простых вариантов, до более продвинутых. Те кто использует простые решения страстно мечтают о более продвинутых и копят деньги. Те кто пользуются продвинутыми - мечтают о большей прибыли.
На самом деле все это бутафория и абстрактное мышление. Весь ваш доход по-большей части зависит от подготовке к атаке (кампании распространения), а малварь это всего лишь инструмент. Многие не думают о том, что после отстука можно еще добить жертву другим типом малвари - например клипером.

На многих форумах бытует ошибочное мнение, если арендовать крутой и известный ******* за 500$-1000$ то бабосы рекой потекут в карманы. Это неправильное утверждение, наоборот, чем больше юзают вашу невьебическую малварь, тем больше палева она собирает.
Понятно что селлер будет ссать вам в уши что это не так, ведь вы представляете его доход. Кроме селлера вам в уши, хуй будут вкручивать цигане - это тып представителей “все знаю, все умею, но нихуя не ИМЕЮ”.
Этакие бело-прыщавые выпускники, с гнойной хуйней на ебучке, поверившие в себя. Как правило они шестачат селлеру, чтобы тот накинул им пару фри-дей на малварьку.
Есть еще представители - “полоскуны”, полощат селлеру панталоне от черкашей. Они считают, что он известный и крутой, а в дет-саде крутым быть пиздато, правда они долго не живут - это самый быстроумерающий тип.

Лично я могу сказать следующее: Чем меньше народа юзает вашу малварь, тем лучше. Все равно сколько она стоит и откуда она - лишь бы стучала хорошо. Если это гитхаб - то немного изменить и в бой, если это опенсорс с борда - изменить, криптануть и в бой. Главное, чтобы стучало хорошо!!!
Вообще советую обзавестись исходниками малвари, пусть не самой функциональной, с их помощью можно делать хорошие финты.

Про крипт писать не буду, каждый сам для себя решит. Мое личное мнение: 99% покупного крипта - это наебалово.

Об этом можно писать много, думаю будут вопросы в комментах, соответственно отвечу при возможности, да и другие тоже подскажут.

Плавно переходим ко второму пункту… Начнем думаю с азов.

Типы файлов при заражении:

shkolota.exe

Обычный криптованный файл, замаскированный под инсталлер трастового ПО. Лично я использую ****перы, вы можете использовать что угодно.
Имея исходный код малвари, криптовать стал себе сам. Верить чудо-криптерам перестал еще в 2020, для меня все они Иосифы Пиздобольские, которые не могут обьяснить елементарного в своей работе. По поводу крипта можно говорить долго, но не суть, думайте где криптуете, может ли криптор положить рядом с вашей малварькой свою, что все эти сканеры детектов злостная пиздежь и верить им можно на 50-60%.
Как небольшой пример: Иосиф Пиздобольский уверял меня что у него абсолютно кристальный стаб, криптанул мне мой ******* был FUD, а после того как я сменил регион на тестовой тачке (с USA на Сальвадор)… У меня сразу же появились детекты. Так что при крипте имейте ввиду, что почти все AV и тем более WD имеют региональные базы. Также вы должны знать, что есть базы глобальные (вирустотал/аналоги), и региональные (avcheck/аналоги - в основном это usa).

Также надо упомянуть лаунчеры, они бывают разные, останавливаться не буду. Я использовал лаунчер который качал и запускал мою малварь в памяти, затем качал оригинальный софт и устанавливал его. Также отмечу что сделав себе лаунчер, я мог подогнать под любой инсталлер софта, от MS Office, хрома, брейва, до любых других.
Плюсом является то, что человек получает то, что он скачивал, а я получаю с него бабосы. То есть если человек скачал кряк, он получает кряк, если качал софт, он получает данный софт.

Если этого мало, то можно использовать создание инсталляторов. Их в этих интернетах целая гора. Также у меня была статья здесь “Делаем инсталлятор софта с бэкдором” я ее нахуй удалил, так как считаю это не актуальным (мало эффективным) возможно напишу более актуальную статью “Делаем инсталлятор с бэкдором с использованием криптографии”.
Оптимальные инсталляторы по моему мнению:

• Nullsoft Scriptable Install System
• Advanced Installer
• Inno Setup
• WIX Toolset

Как работать с этими инсталляторами можно найти на Ютюбе, описывать не буду.

shkolota.xll

Довольно распространенный метод. Это файлы надстройки для microsoft excel. Распространять его стало сложно, очень много собирает вокруг себя детектов и варнов.

Плюсом является то, что на момент когда я их использовал, они были актуальны для спама.
Довольно интересная штука была, у кого были хорошие smtp сервера для масс спама.
Сейчас часто можно встретить в работе с корпами.

shkolota.lnk

Суть такая же как и у xll - открываете файл, получаете документ или текстовик, а пк жертвы заражается.

Часто используют для заражения скупов ***** или отрабов. В лог засовывают password.lnk он открывал текстовый документ и вешал малварьку (*******/клипер).

Еще несколько других

.iso \ .img - подходит для тех, у кого свои сайты с разным софтом и играми. Подходит для торрентов, если файл хорошо закриптован, то все будет окей.

Также интересные, юзают и сейчас: .JSE/*.VBE/*.HTA (.VBE/VBS на днях перестали поддерживаться виндой)

Еще эти: *.JS/*.WSH/*.WSF/*.URL можно использовать под определенные таргеты.

Тыкать как попало все эти форматы не рекомендую. Использовать рекомендую только с хорошо продуманным таргетом.

Методы доставки файлов


И так начнем описывать методы распространения малвари с самых банальных и почти не рабочих к более-менее актуальным и при правильном подходе хорошо рабочим.

• Кряки - тут можно многое говорить. Соглашусь что их качают многие, так как жадность - второе счастье, но и доход от этого - это красные глаза, гемморой, боль в спине, нервняк и в лучшем случае пару баксов
• Читы - немного лучше первого, так как жертва при небольших деньгах и и готова заранее к детектам. Но заработок как и в первом случаи.
• Ссылка - Самый распространенный - это ссылка на файлообменник с паролем, по сути массовый. Ссылка и пароль, ничего сверхъественного. Ведутся на такое бомжи. Заработок как и выше.
• лендинг с ботом автоответчиком - по сути стандартный лендинг, но нет прямого скачивания, есть только форма заполнения почты. Жертва вводит данные в ответ мгновенно получает письмо на свою почту по установке. Параллельно собираем базу, которую в будущем можно спамить. Хорошо работало когда не было EV серта. Спросите, а зачем заморачиваться? Да потому что человек уже согласился, что этот софт ему нужен, раз отправил запрос. Данный метод подходит для завлечения более умной и целевой аудитории, **** с таких всегда жирнее, чем с обычных ссылок под видосами.
• Белый софт с бэкдором и с цифровой подписью EV Code Signing Certificate - самый дорогой метод. Данный метод является самым дорогим потому что для его реализации нужен готовить белый софт с бэкдором (лоадером). AV и WD на такое не триггерит,так как по сути это является оригинальным софтом, написанным "вами". Как оформить серт я описывал в старой статье, здесь писать не буду - лень. Можете купить цена вопроса 3500 - 4500$ (можете быть кинутым, так как серт могут продать в несколько рук, соответственно кого первого спалят аверы, то и засрет работу остальным), а можете погуглить и зарегать себе - цена вопроса 650-1000$.

Интересные и актуальные методы:

Линк Спуфер

Линк Спуфер - Это белое (но не точно) ПО которое подменяет в браузере все ссылки на скачивание программы (например МетаМаск) на ваши заранее подготовленные. В моем случаи это было расширение для браузера в виде ***, которое выполняло и функцию *** и фунцию Линк Спуфера заменяя ссылки на мои (по маске, так как софт был разный), чтобы в тупую все ссылки не менять на одну мою. Как попасть в хром-стор это отдельная тема, но не тяжелее чем запустить рекламную кампанию в FB или GADS. Об этом софте возможно напишу статью, но пока впадло писать.

GitHub/GitLab

Тема 1

Создаем на GitHub копии репозиториев с известными именами, которые имеют больше шансов занять высокие позиции в результатах поиска, а также используем различные методы для накрутки их популярности и видимости на платформе.

Мамоны, которые не замечают подмены загружают файлы из репозиториев, становятся жертвами малвари, которая скрывается в файлах проектов Visual Studio и незаметно выполняется во время сборки проекта. ИМЕННО ВО ВРЕМЯ СБОРКИ БЛЕАТЬ!!!

Для автоматизации обновления своих репозиториев можно использовать GitHub Actions, часто изменяя файл журнала мелкими случайными правками. Это помогает нашим репозиториям занимать высокие позиции в результатах поиска, например если результаты отсортированы по последнему обновлению.

Тема 2

Есть на этих платформах (GitHab/GitLab) одна старая дыра, которую я юзаю года 3-4. Заключается она в использовании URL-адреса известных репозиториев (Microsoft, Nvidia, Google…) в общем, любых трастовых и популярных, где жертва страстно верит что качает вашу малварь с оригинального репозитория.
Как это работает? Например, мы на своем лендинге или еще где-нить пишем о каком-то чудо-драйвере-пиздобольском или о чудо-софте который поднимает фпс на 100500 для слабых ПК. Сами же мы идем в репозиторий Nvidia и начинаем писать комментарий к коммиту (любому) и прикрепляем файл, в данном случаи нашу малварь. На что GitHub/GitLab нам дает ссылку ввиде https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}
например:
https://github[.]com/nvidia/STL/files/14432565/driver.pizdobolskiy.1.6.0.zip
При этом, вместо генерации URL после публикации комментария, GitHub автоматически генерирует ссылку на скачивание сразу после добавления файла в еще несохраненный комментарий. Это позволяет нам связывать свою малварь с любым репозиторием, без ведома его владельцев.

Более того, даже если комментарий в итоге не будет опубликован (или будет удален сразу после публикации), файлы не удалятся из CDN GitHub/GitLab, а URL-адреса продолжат работать.

Тема живет уже 4-й год и будет жить еще долго (но это не точно). Лично я использовал такую разводку: например, я грузил малварьку в репозиторий Nvidia для установки драйверов, и она маскировалась под новый драйвер, исправляющий проблемы в какой-либо популярной игре. Или, например, можно грузить малварь в комментарии к исходному коду Google Chromium и заявить, что это новая тестовая сборка браузера. В общем идей много и все работают.

Тема 3

Делал расширение под браузеры которое помогало пи-ту-пишникам комфортно торговать. Делал репозиторий все красиво оформлял заливал безобидное рабочее расширение и искал на ютюбе Пиздобольских с овер-дохуя подписчиками, которые дрочили на пи-ту-пи.
Писал им типа: предлагаю расширение для удобной торговли, расширение опенсорс, лежит на гитхабе. За каждую установку готов платить столько-то денег или процент за установку про-версии, которая якобы скоро выйдет в свет. Пиздобольски тщательно проверяли репозиторий и сам софт, после чего соглашались на процент. Ну, а я им закидывал подготовленную ссылку как в теме выше, только вместо Nvidia мой репозиторий ранее провереный Пиздобольским. Трафика с бабками было пиздец, особенно большая благодарность Харчевникову и кенту его - Рыжему, за квартиры, тачки и не пустой кошелек. А также похожи пиндосам. Ох блять... были времена.

Чекеры

Чекеры - история покрыта мраком, смехом и слезами. Суть темы заключается в создании (переделки/форке) библиотек Python, JS, etc.
После создания/переделке библиотеки, на площадках о трудоустройстве ищем жертву, этом может быть амбициозный индус, Иван с мухосранска, кто угодно.
Предлагаем нашему персонажу работу обещая, что он будет директором нашей компании, а наша компания подрядчик гугла. Ему нужно будет регать аккаунты PyPI (для примера) и проходить верификация. Любой негр/индус согласится на это, сделает вам аккаунт и пойдет под списание ведь все доступы будут у вас. В этот акк вы грузите свою модифицированную библиотеку и ждете прихода мамонтов. Можно сделать таких аккаунтов много с разными библиотеками. Когда жертва будет использовать ваши библиотеки в своем софте, они, библиотеки будут выполнять заранее спрятанные вами зловредные действия.

Пример из жизни: попались мне как-то два брата один хуй - второй лопата. Первый решил написать себе софт который из хеша метамаска по паролю восстанавливал сид-фразу.
Почему-то он решил использовать мою библиотеку, и уже при тестировании его сид-фраза улетела ко мне. Ну, а потом дохуя денег.

Второй прочитал на медиуме статью "как сделать чекер сидок". Был более амбициозный, создал своего ТГ-бота и работал как сервис, ох он и принес радости мне.

Доставка с помощью пакетов PyPI

Создаем вредоносный пакет, и смешиваем с компилированным кодом, чтобы избежать обнаружения средствами безопасности, так как они проверяют файлы с исходным кодом (PY), а не компилированные файлы (байт-кода (PYC)). Этот метод можно использовать не только в PyPI, а например в GitHub, NPM и RubyGems.

Например, в пакете содержится три файла, два из которых “Белые”, а третий файл - shkolota.pyc - с малварью. То есть в нем присутствует загрузчик малвари.

Большинство таких атак используют обфускацию, чтобы скрыть опубликованные в репозитории малварьки от аналитиков или средств обнаружения. Однако я не стал заморачиваться с обфускацией. Вместо этого я поместил весь вредоносный код и функции в один файл, содержащий скомпилированный байт-код Python. Расписал коротко - думайте, тема работает.

На этом с распространением закончу, методов очень много, все в одной статье не опишешь. Думаю немного подкинул вам пищи для размышления.


Трафик

На эту тему можно много писать, да и стоящие рабочие и доходные темы вряд-ли кто откроет, только кидалы. Перечислю кратко паблик варианты:

• Бинг
• Гугл эдс
• ФБ
• Медиум
• Реддит
• Тик-ток
• Телега
• Ютюб

Покупка инсталов

Не знаю есть ли сейчас такие уникумы, которые покупают инсталлы, если вы есть, то я вам сочувствую.

Биржи

Не лучше чем инсталлы, смысла в них не вижу - для меня это тоже самое.

СЕО продвижение

Не совсем для новичков, но если вывести свой сайт в топ, то он приносит неплохие установки. Чтобы разобраться в сео продвижении, нужно понимать как делать сайты, что такое индексация, семантика и еще целая куча аспектов. Для себя сделал вывод, что лучше делать под определенную страну и не стараться делать сайт глобальный (по сути люди сами по тихому так и так подтянутся)

Тизерки

Тизерки конечно это сокращенно по сути - это тизерные сети, коих куча в данный момент. Тизерная реклама в Интернете — разновидность рекламного баннера, построенная по методу тизера которая содержит часть информации о продукте, но при этом сам товар не демонстрируется.

Модерацию пройти легко, настройки тоже достойные но сами гифки лучше делать кликбейтными, чтобы заинтересовать людей. Да в 2к23 - 2к24 по ним до сих пор переходят. Проливался с тизерки я на 1000 бачей, окупился достойно. Использовать можно, главное грамотно подойти к делу и оформить.

Покупка бизнеса или Dроп-домены

Например, можно купить от 1500$ до 3000$ ИТ-бизнес (ПО) уже с пользователями, выпустить обнову и получить 10000-15000 установок. Все цифры как пример. Точно Также и с Dроп-доменами, зацепить нормальный домен, восстановить сайт с софтом и делать установки.

Спам по почте

Об этом напишу кратко.
Актуальный и профитный способ на данный момент при наличии хороших баз, качественных smtp серверов методов доставки и грамотного составления писем. Базы желательно собирать самому + проверять их на валид и сортировать. Оформляйте грамотно письмо. Делайте как профессионал, если сами не можете сделать шаблон, то лучше закажите. Не спамьте базу казино, крипту и им похожее, выхлоп будет маленький, только потратите ресурсы и время. Спамте корпы и будут деньги)

В конце хотел бы обратить внимание на то, чтобы вы учились работать не только .ЕХЕ-шниками, а например расширениями для браузеров, павершел-скриптами, пайтон-либами и не только. Практикуйте, развивайтесь, отпустите уже этот .ЕХЕ.
Придумывайте оригинальные методы доставки, сейчас в век технологий вариантов просто горы. Развивайтесь, тестируйте, спрашивайте, но не забывайте о том что вам никто ничего не должен и работать за вас не будет.

Вот и подошел конец, а кто прочитал, тот молодец! Возможно данную статью (скорее пост) в будущем буду дополнять актуальными методами, возможно кто-то захочет добавить свои методы в комментариях (очень сомневаюсь) я их перенесу в статью.
Всем добра и до встречи!!!​