Только что было. Открываю клиент, ни один чатик ещё не успел открыть, сразу снизу вылезает плашка "доступно обновление". Ну ладно, это вроде норма, потом отвечу на чатики, сначала обновлюсь, тыкаю её. Всё как обычно, но в процессе установки встроенный "Сысурити" (Security) от Сяоми вместо обычных трёх зелёных галочек показывает последнюю красной, мол, "вирусная угроза", и выбор: серый "Ignore" и зелёный "Install". От удивления даже заскринить забыл. Всегда думал, что эта хрень — просто бесполезный "театр безопасности" для спокойствия юзера. Она впервые у меня на что-то среагировала. Ну и ещё смысл слова "Ignore" озадачил. Игнорировать это уведомление и всё равно установить, или игнорировать прилетевшее обновление?
Тыкнул серую. Но до сих пор гложет вопрос, что же это такое было? На другом устройстве с заведомо устаревшей версией приложения воссоздать ситуацию не удалось. По GetApps и PlayStore моя версия соответствует актуальной. На русторе нет иксовой вообще. В клиенте перед этим никакие ссылки, файлы, видео и ботов не трогал. Оно само вылезло при запуске.
Ну что ж, скачаем. Заметим, что заархивированы файл занимает всего 123 кб.
После распаковки на диск мы видим, что размер файла стал почти 18 мБ
О чем это нам говорит? А о том, что файл хорошо сживается, и что его кто-то специально раздул до таких больших размеров. Цель тут одна – затруднить отправку файла в различные онлайн сервисы по исследованию программ. Ок, давайте это проверим. Загрузим в ExeInfo и видим наличие оверлея (доп информация в файле). Просто вырежи его в отдельный файл.
Новый файл astral free 0.33.1_noOVL создан, и мы получили нормальный размер. А сам оверлей – это просто большой кусок, забитый нулями, ничего интересного он не представляет.
Хорошо, посмотрим что этот файл делает, откроем его в дизассемблере и перейдём в главную функцию, которая исполняется при запуске.
Что же мы видим? Создаётся «метка» с именем nero_preloader, видимо именно этой программой и был сгенерирован дропер. Пока ничего страшного, посмотрим чуть ниже.
P.S. Кто-нибудь знает что такое nero_preloader? Ответьте в коментариях.
Ага, интересная функция, зайдем в нее:
ссылка на скачивание
запуск исполняемого файла
Вот оно! Скачивается файл по определённому адресу: http://uffyaa[.]ru/PacketgeoDbbaseFlowerDatalifeLocalpublicDownloads/da5911c60d39ce73116584ec5e0325f503780e55693c9952e76cab1c0441652055d0bd67ed27bb89, копируется в :\\ProgramData\\sessionuserhost.exe и запускается. На этом функционал этого исполняемого файла закончен, но это же нас не остановит? Скачаем и продолжим исследование дальше.
На этот раз скачался исполняемый файл весом в 400 кБ, назовём его test.exe и продолжим
файл по ссылке выше
Так же откроем функцию main() и посмотрим, что она делает. О, что мы видим!!
Основные действия функции
Получение системных путей:
Получает путь к системной директории Windows с помощью GetSystemWindowsDirectoryA
Формирует пути к различным системным и программным директориям
Создание вредоносных файлов и сервисов:
Создает файл sessionuserhost.exe в ProgramData
Создает задание в планировщике задач (schtasks /create) для автоматического запуска этого файла при входе в систему
Создает сервис с именем InputService через sc create
Добавляет исключение в защитник Windows через PowerShell (Add-MpPreference -ExclusionPath)
Подмена системных файлов:
Работает с файлом hosts (\\Windows\\System32\\drivers\\etc\\hosts)
Вмешивается в системные файлы в директории Recovery
Маскировка под легитимные процессы:
Создает файлы с именами, похожими на легитимные процессы:
steamuiupdater.exe
EpicOnlineServicesUpdater.exe
G HUB tray.exe
Riot Client Updater.exe
MSIAfterburnerServiceMonitorTray.exe
NVIDIA app tray.exe
twain_32.exe
system auditor.exe
EpicOnlineServicesInstalator.exe
Выполнение команд с повышенными привилегиями:
Использует ShellExecuteA с параметром "runas" для выполнения команд от имени администратора
Выполняет несколько вредоносных команд через cmd.exe
стоки в файле test.txt
Продолжаем исследовать дальше, видим обращение к некоторому адресу https://pastebin[.]com/raw/qQe7Aa7D
от кроем его, что же мы видим:
Ага, видим то, что запишется в HOST файл нашего компьютера, теперь ни одна ссылка из этого списка не будет открываться. Кроме того, мы видим еще 3 ссылки, В коде программы это выглядит вот так:
Дальше часть кода процедуры из test.exe:
Как видим, скачанный нами файл будет называться :\\ProgramData\\controlhost.exe, тоже самое и для остальных двух файлов.
И так, основные функции данного файла и Основная цель функции:
Попытаться скачать файл config.json с ресурса https://pastebin.com/raw/qQe7Aa7D и, если это не удалось, выполнить резервную загрузку дополнительных данных (3 имполняемые файла) с нескольких подозрительных доменов (в частности, uffyaa.ru).
Из второго аргумента (a2) извлекаются указатели и длина строки (путь к директории), к которому дописывается :\\ProgramData\\config.json.
Формируется целевой путь к файлу:
Собирается строка пути, куда должен быть сохранён файл: например, C:\ProgramData\config.json.
Попытка загрузки файла с Pastebin:
Используется URLDownloadToFileA, чтобы скачать файл по указанному URL и сохранить в подготовленном пути.
Если загрузка прошла успешно, функция завершает работу, иначе переходит к резервной логике.
Резервная логика загрузки (fallback):
Если основной файл не загружен, вызывается функция download01 с различными параметрами (ключи: "count", "type", "link0", "link1", "link2").
Эти ключи соответствуют различным частям конфигурации или файлов:
"type": ".exe" — ожидается исполняемый файл.
"link0", "link1", "link2" — это прямые ссылки на вредоносные загрузки с сервера uffyaa.ru, каждая ведёт к конкретному зашифрованному или закодированному payload.
Заключение:
Функция реализует двухэтапную схему получения вредоносной конфигурации:
Сначала пытается скачать конфиг с Pastebin.
Если не удалось — переходит к запасным URL, каждый из которых может представлять отдельную угрозу (исполняемые файлы, настройки, ключи и т.д.).
Продолжим наше исследование и скачаем содержание этих 3-х ссылок:
1. Запускается file1.exe с повышенными правами (администратор), что критично для выполнения всех следующих действий.
2. Копирует .exe файлы в каталоги %UserProfile% и %ProgramData%. Это позволяет запускать и сохранять вредоносный код без обнаружения.
3–4, 18–19. Удаление обновления Windows KB890830
wusa /uninstall /kb:890830 /quiet /norestart
KB890830 — это средство удаления вредоносных программ (MSRT).
Злоумышленник удаляет его, чтобы оно не удалило вредоносное ПО.
5–8, 20–24. Отключение обновлений и службы передачи данных
sc stop UsoSvc
sc stop wuauserv
sc stop bits
sc stop dosvc
* Отключение служб:
Центра обновления Windows (wuauserv)
Интеллектуальной передачи данных в фоне (BITS)
Обновления операционной системы (UsoSvc, WaaSMedicSvc, dosvc)
* Цель: остановить обновления и вмешательство Microsoft.
9–11, 25–28. Отключение автоматического сна и гибернации
powercfg.exe /x ...
* Модифицирует схемы питания:
Устанавливает таймауты гибернации и сна в 0.
* Цель: предотвратить переход ПК в спящий режим, чтобы вредоносный код работал непрерывно
12. Создание dialer.exe в system32
Необычное место и имя.
13–16. Создание и запуск вредоносной службы
sc delete "EJJYGAKZ"
sc create "EJJYGAKZ" binpath= "..." start= "auto"
sc stop eventlog
sc start "EJJYGAKZ"
Удаляется старая служба, создаётся новая с автостартом.
Программа lxwvsyozcpiw.exe будет запускаться при загрузке.
Остановка eventlog — попытка скрыть следы в журнале событий.
17, 31. Выполнение сложного PowerShell-скрипта с динамической загрузкой и внедрением
Скрипт создает динамический делегат, используя Reflection.Emit.
Получает доступ к системным сборкам и вызывает низкоуровневые функции.
Используется Marshal::GetDelegateForFunctionPointer, Copy, Invoke и т.п.
Это указывает на:
Создание и внедрение shell-кода
Вызов функций из сторонних DLL
Динамическую декриптацию или загрузку полезной нагрузки
Также возможно, что выполняется DLL-сидeloading или внедрение в dllhost.exe.
30. Запуск DLLHost с нестандартным идентификатором COM
* Вероятно, загрузка вредоносной DLL через COM-объект.
* Используется для маскировки и уклонения от обнаружения.
29. Запуск dialer.exe
Ранее созданный исполняемый файл.
Основной вредоносный компонент.
Итоговая цель вредоносной программы
Получить полный контроль над системой
Отключить защиту и обновления
Скрыть активность
Закрепиться через автозапуск
Выполнить вредоносную нагрузку (включая DLL sideloading, shellcode, системные вызовы)
Возможное дальнейшее заражение или шпионаж
Как вы могли заметить, выполнились 2 PowerShell скрипта, после их расшифровки мы можем понять, что делает эта программа. Вот подробное описание, что делает эта вредоносная программа на основе всех 31 шага:
🔧 1. Запуск вредоносного исполняемого файла с правами администратора
📛 Цель — остановить обновления и автоматическое восстановление системных компонентов, чтобы система не восстановилась после заражения.
🔌 9–11, 25–28. Изменение параметров электропитания
cmd powercfg.exe /x -standby-timeout-ac 0, /x -hibernate-timeout-dc 0 и т.п.
Отключает ожидание и гибернацию, чтобы система постоянно работала и не уходила в спящий режим. Это может быть нужно для непрерывной работы вредоносного кода.
⚠️ 12. Создание вредоносного dialer.exe
Создаёт файл C:\WINDOWS\system32\dialer.exe. Вероятно, это вредоносный компонент.
🧪 13–16. Удаление, создание и запуск скрытого сервиса
Удаляет старый сервис и создаёт новый с произвольным именем, который указывает на вредоносный EXE в ProgramData. Сервис будет запускаться автоматически при старте системы.
🚨 15. Остановка системного журнала событий
cmd sc.exe stop eventlog
Отключает логирование событий. Это мешает расследованию и скрывает следы.
🧬 17. Динамическая генерация вредоносного .NET-кода в PowerShell
C:\Windows\System32\dllhost.exe /Processid:{3a3997b4-63b2-4a14-adf7-fc6a4d4fb2c3} (Application was injected by another process)
🟨 Общие элементы
Обе программы:
Активно используют PowerShell и reg add.
Модифицируют службы и параметры Defender.
Пытаются внедрить исключения в систему защиты.
Используют техники персистентности (запуск по расписанию, скрытые скрипты).
File3.exe:
Этот фaл отличается от других упакован модифицированным UPX. Эта программа уже написана на Go(go1.22.0) но зато активно общается с 188.114.96.3, 172.67.191.102:433 и с другими
Видимо это и есть сам вредонос для удалённого доступ к компьютеру жертвы. Позже я расскажу что же это такое. Обезопасим себя на всякий случай. Вот готовый .bat-файл, который создаст правила в брандмауэре Windows для блокировки IP-адреса 172.211.123.249:
SalatStealer — это тип вредоносного ПО, предназначенный для кражи данных с заражённых устройств.
Он разработан на языке Golang и может выполнять различные действия, включая создание скриншотов и эксфильтрацию файлов.
Использование SalatStealer может привести к серьёзным последствиям, таким как кража личной информации.
Дропает себя в разные места, запускает сам себя:
Конектится к:
https://sa1at[.]ru/sa1at/
https://sa1at[.]ru/sa1at/jcl2eeqx
Сайт sa1at[.]ru был идентифицирован как вредоносный и используется в качестве центра управления (C2) для вредоносного ПО под названием Salat Stealer. По данным ThreatFox, этот домен классифицируется как связанный с ботнетом и имеет высокий уровень достоверности угрозы (100%) .
Рекомендую добавить sa1at[.]ru в файл hosts для блокировки доступа:
SalatStealer — это вредоносное программное обеспечение, классифицируемое как инфостилер, разработанное на языке Go. Оно предназначено для кражи конфиденциальных данных с заражённых систем.
🧬 Основные характеристики
Язык разработки: Go (Golang)
Методы упаковки: Использует UPX (Ultimate Packer for eXecutables) для упаковки исполняемых файлов, что затрудняет анализ и обнаружение.
Основные функции:
Сбор системной информации: данные о жёстком диске, разрешение экрана, активные процессы и окна.
Кража учётных данных из браузеров (Chrome, Firefox, Edge) и почтовых клиентов.
Доступ к криптовалютным кошелькам и кража приватных ключей.
Поиск незашифрованных паролей в текстовых файлах.
Эксплуатация микрофона и камеры для записи аудио и видео, а также возможность трансляции экрана в реальном времени
Salat Stealer — это скрытное вредоносное ПО, разработанное на языке программирования Go, предназначенное для проникновения в системы и извлечения конфиденциальных данных. После заражения устройства оно собирает обширную системную информацию, такую как сведения о жёстком диске, разрешение экрана, запущенные процессы и активные окна. Одной из его наиболее тревожных особенностей является его способность транслировать рабочий стол жертвы в режиме реального времени и захватывать аудио и видео с помощью микрофона и камеры устройства, что создаёт серьёзные проблемы с конфиденциальностью. Кроме того, Salat Stealer способен извлекать файлы из скомпрометированной машины. Его присутствие может привести к значительным рискам, включая кражу личных данных, финансовые потери и серьёзные нарушения конфиденциальности.
Возможности и функциональность
Кража данных и сбор учётных данных • Собирает сохранённые учётные данные из веб-браузеров (например, Chrome, Firefox, Edge). • Извлекает учётные данные для входа из локальных почтовых клиентов. • Получает доступ к файлам криптовалютного кошелька для кражи закрытых ключей или средств. • Ищет незащищённые учётные данные, хранящиеся в текстовых файлах. • Извлекает файлы из скомпрометированной системы, что может привести к серьёзным нарушениям конфиденциальности, финансовым потерям и краже личных данных.
Мониторинг рабочего стола в реальном времени • Обладает возможностями потоковой трансляции, что позволяет злоумышленникам отслеживать активность на рабочем столе жертвы в режиме реального времени. • Может записывать аудио и видео через микрофон и камеру устройства, что создаёт серьёзные риски для конфиденциальности.
Методы сохранения и уклонения • Записывает файлы в критические системные каталоги (Windows, System32, Drivers, Program Files) • Изменяет реестр Windows (ключ Run), чтобы обеспечить автоматическое выполнение при запуске. • Использует методы обхода контроля учетных записей (UAC) для повышения привилегий. • Выполняет сброшенные полезные нагрузки для расширения цепочки атак. • Использует упаковку UPX для сокрытия своего кода и обхода обнаружения на основе сигнатур.
Обзор цепочки атак
Первичное заражение:
Распространяется через фишинговые письма, вредоносные вложения и скрытые загрузки.
Также может распространяться через взломанное программное обеспечение или троянизированные приложения.
Исполнение и настойчивость:
Вредоносная программа запускается при взаимодействии с пользователем, например, при открытии вредоносного файла.
Для достижения устойчивости он использует реестр Windows (ключ «Выполнить»).
Попытки обойти контроль учетных записей (UAC) для получения повышенных привилегий.
Системная разведка и сбор данных:
Перечисляет запущенные процессы и активные окна.
Сканирует сохраненные учетные данные в веб-браузерах, почтовых клиентах и криптовалютных кошельках.
Проверяет языковые настройки системы, чтобы потенциально избежать заражения определенных регионов.
Утечка данных:
Извлеченные учетные данные и сведения о системе отправляются на контролируемый злоумышленником сервер управления и контроля (C2).
Вредоносная программа может попытаться удалить следы своей активности, чтобы избежать обнаружения.
Обход контроля учетных записей пользователей (UAC)
SalatStealer использует обходные методы контроля учетных записей (UAC) для получения повышенных привилегий без оповещения пользователя. Устанавливая ключ EnableLUA в \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA на «0» (отключает UAC).
При установке EnableLUA на 0 вредоносная программа отключает принудительное применение UAC, что позволяет ей выполнять административные команды и сохранять устойчивость, обходя ограничения безопасности. Однако это изменение вступает в силу не сразу — для полного отключения UAC требуется перезагрузка системы. Пока система не перезагрузится, запрос UAC будет по-прежнему отображаться при запуске вредоносной программы.
Механизм устойчивости SalatStealer
SalatStealer обеспечивает постоянство, копируя себя в случайные каталоги. В моем случае он скопировал себя в:
C:\Program Files (x86)\Защитник Windows\
C:\Program Files (x86)\Windows NT\
Затем он создает ключи запуска в реестре Windows, чтобы обеспечить выполнение при запуске:
Мониторинг экрана и рабочего стола в реальном времени
Salat Stealer может непрерывно делать снимки экрана и даже транслировать содержимое рабочего стола жертвы на командный сервер (C2) злоумышленника, обеспечивая наблюдение за его действиями в режиме реального времени.
Кража данных буфера обмена
Salat активно отслеживает активность буфера обмена, что позволяет ему перехватывать скопированный текст, включая пароли, адреса криптовалют и другие конфиденциальные данные.
Кейлоггерство – перехват нажатия клавиш
Salat Stealer записывает все, что вводится в систему жертвы, фиксируя учетные данные, сообщения и любые другие вводимые данные в режиме реального времени.
Аудио- и видеошпионаж
Salat Stealer функционирует как полноценный шпионский инструмент, способный:
Запись микрофона: захват и передача звука с микрофона жертвы. Доступ к веб-камере: запись видео с веб-камеры системы. Прямая трансляция: трансляция аудио- и видеопотоков в реальном времени на удалённый сервер злоумышленника.
Эксфильтрация
Salat Stealer использует скрытый процесс эксфильтрации для передачи украденных данных на свой сервер C2, используя шифрование AES для сокрытия конфиденциальной информации перед передачей. Файлы упакованы в архивы ZIP
Заключение
SalatStealer — это скрытное и устойчивое вредоносное ПО, предназначенное для кражи конфиденциальных данных, избегая обнаружения. Собирая учетные данные, изымая файлы и обеспечивая наблюдение в реальном времени, оно представляет серьезные риски для жертв, включая финансовые потери, кражу личных данных и нарушения конфиденциальности. Оно использует обход UAC и изменения реестра, что затрудняет удаление. Кроме того, его механизмы шифрования и упаковка UPX еще больше усложняют анализ и обнаружение. Учитывая его широкую направленность на веб-браузеры, криптовалютные кошельки и приложения для обмена сообщениями, SalatStealer остаётся значительной угрозой, подчёркивая необходимость постоянного мониторинга и расширенных мер безопасности для противодействия его воздействию.
Человек утверждает что в клиенте uTorrent встроенный майнер.
Меня это удивило, несмотря на похожий семилетний скандал подобного рода с этим же торрент клиентом.
Мои действия для опровержения поста (которые вы сами можете повторить): 1) Специально поставил после этого последнюю версию с офф сайта, никаких процессов лишних нет ни после установки, ни после перезагрузки.
2) Так же версия скачанная 16.05.2021 на другом ПК не добавляет майнеров.
3) Так же еще более старый билд 3.5.5 45395 не имеет вирусни. 4) Для еще большего углубления в его проблему была установлена виртуалка, на нее винда 11 (как у автора оригинального поста) и сразу же установлен uTorrent. Как и ожидалось - никаких майнеров.
Кому интересно, вот кошелек из того майнера (вбивал ручками из его скрина блокнота, ибо там какая-то беда со шрифтами), по графику видно что хешрейт не растет, а если бы популярный торрент клиент заражал массово компы, мы бы видели иную картину. Скорее всего автор либо врет, либо скачал винду уже с майнером, либо через тот злополучный торрент сразу же скачал зараженные файлы. Человек как обычно - сидел на пикабу 10 лет, и вдруг решил зарегистрироваться, дабы просветить людей об угрозах. @DD000, в комментах не отвечает, может хоть тут чего скажет.
Хз можно ли это считать пруфом от меня, но вот скрин виртуалки с единственным процессом на букву N, тогда как автор говорит про "nvrtc.exe и kernel.exe"
P.s. Убрал из поста инфу про начало работы кошелька, так как первые выплаты были произведены в марте 2021 года, но когда начался майнинг не известно.
Так же по моим очень грубым подсчетам хешрейт кошелька (62,930 H/s) может сделать один единственный CPU AMD Threadripper 3990X. Т.е. мощности вообще там мизерные ($2.78 в день), где автор поста мог найти такой майнер я не представляю. Если не так посчитал что то - поправьте.
История о том, как я поймал майнер склеянный с безобидным uTorrent
Всем привет! Являюсь постоянным читателем сайта на протяжении 10+ лет, а сегодня специально зарегистрировался здесь для того что бы опубликовать разоблачение клиента uTorrent.
Началось все с того, что я решил скачать Windows 11, поклацать на виртуальной машине, посмотреть что нового добавили, отправился как обычно на поиски в трекеры, а для того что бы выкачать iso нужен торрент-клиент, за ним и пошел на официальный сайт (www.utorrent.com)
Скачал клиент, устанвоил, во время установки естественно убирал ВСЕ галочки (инсталлер навязывает установку проплаченного дерьма)
Спустя 5 минут скачивания заметил небольшие тормоза, открыл диспечер и увидел новые процессы nvrtc.exe и kernel.exe, открыл их расположение и обнаружил там майнер криптовалюты Monero и Эфира, судя по названию логов - время установки uTorrent и майнера сходится! И тут я вспомнил, что читал о блокировке uTorrent в windows defender, Windows начала бороться с торрент-клиентами
Оказалось не просто так блокирует :)
Разработчики uTorrent никак не прокомментировали ситуацию.
В нескольких крупных вычислительных кластерах, находящихся в суперкомпьютерных центрах Великобритании, Германии, Швейцарии и Испании, выявлены следы взломов инфраструктуры и установки вредоносного ПО для скрытого майнинга криптовалюты Monero (XMR). Детальный разбор инцидентов пока недоступен, но по предварительным данным системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерах (последнее время многие кластеры предоставляют доступ сторонним исследователям, изучающим коронавирус SARS-CoV-2 и проводящим моделирование процессов, связанных с инфекцией COVID-19). После получения доступа к кластеру в одном из случаев атакующие эксплуатировали уязвимость CVE-2019-15666 в ядре Linux для получения root-доступа и установки руткита.
Выделяется два инцидента, в ходе которых атакующие воспользовались учётными данными, захваченными у пользователей из Краковского университета (Польша), Шанхайского университета транспорта (Китай) и Китайской научной сети. Учётные данные были захвачены к участников международных исследовательских программ и использовались для подключения к кластерам по SSH. Как именно были захвачены учётные данные пока не ясно, но на некоторых системах (не на всех) жертв утечки паролей были выявлены подменённые исполняемые файлы SSH.
В итоге, атакующие смоглиполучить доступ к находящемуся в Великобритании (Эдинбургский университет) кластеру Archer, занимающему 334 место в Top500 крупнейших суперкомпьютеров. Следом похожие проникновения были выявлены в кластерах bwUniCluster 2.0 (Технологический институт Карлсруэ, Германия), ForHLR II (Технологический институт Карлсруэ, Германия), bwForCluster JUSTUS (Ульмский университет, Германия), bwForCluster BinAC (Тюбингенский университет, Германия) и Hawk (Штутгартский университет, Германия). Позднее была подтверждена информация об инцидентах с безопасностью кластеров в Национальном суперкомпьютером центре Швейцарии (CSCS), Юлихском исследовательском центре (31 место в top500), Мюнхенском университете (Германия) и Компьютерном центре имени Лейбница (9, 85 и 86 места в Top500). Кроме того, от сотрудников получена пока официально не подтверждённая информация о компрометации инфраструктуры Центра высокопроизводительных вычислений в Барселоне (Испания).
Анализ изменений показал, что на скомпрометированные серверы загружались два вредоносных исполняемых файла, для которых был установлен флаг suid root: "/etc/fonts/.fonts" и "/etc/fonts/.low". Первый представляет собой загрузчик для запуска shell-команд с привилегиями root, а второй - чистильщик логов для удаления следов активности злоумышленников. Для скрытия вредоносных компонентов использовались различные техники, включая установку руткита Diamorphine, загружаемого в форме модуля для ядра Linux. В одном случае процесс майнинга запускался только в ночное время, чтобы не привлекать внимание.
После взлома хост мог использоваться для выполнения различных задач, таких как майнинг криптовалюты Monero (XMR), запуск прокси (для взаимодействия с другими хостами, выполняющими майнинг, и сервером координирующим майнинг), запуск SOCKS-прокси на базе microSOCKS (для приёма внешних соединений по SSH) и проброс SSH (первичная точка проникновения при помощи скомпрометированной учётной записи, на которой настраивался транслятор адресов для проброса во внутреннюю сеть). При подсоединении к взломанным узлам атакующие использовали хосты с SOCKS-прокси и, как правило, подключались через Tor или другие взломанные системы.
При этом Фремель не ограничился и простой публикацией ключей. Он также выпустил инструмент для дешифровки пострадавшей информации, доступный для скачивания через MEGA. Подробную инструкцию по его использованию можно найти на форуме Bleeping Computer.
Всем добра. На волне ненависти к Epic Store, люди начали пристально изучать их лаунчер подмечая все косяки. Данный пост - перевод исследования одного из хакеров (кроде как - Китайца). Он есть на Китайском и Английском языках, а на Русском я так и не нашёл. Вот, решил - пусть будет. Заранее оговорю несколько вещей:
1. Ничего лично против Epic Games я не имею. Все выводы на картинке ниже - сделаны другим человеком. Я же просто перевёл данный текст на Русский язык.
2. Переводчик из меня - так себе. Собственно, я этим занимаюсь чисто для себя, в виде хобби, но данную инфу решил таки выложить.
3. В оригинальном тексте было много обсценной лексики. Где получалось - я старался заменять на более мягкие синонимы. Где не получалось - скрывал части слов звёздочками.
