paint-brush
د کریپټو وسیله یا ډیټا چور؟ څنګه Meme-Token-Hunter-Bot او د هغې کلونونه د macOS کاروونکو څخه غلا کويلخوا@moonlock
3,591 لوستل
3,591 لوستل

د کریپټو وسیله یا ډیټا چور؟ څنګه Meme-Token-Hunter-Bot او د هغې کلونونه د macOS کاروونکو څخه غلا کوي

لخوا Moonlock (by MacPaw)7m2024/11/19
Read on Terminal Reader

ډېر اوږد؛ لوستل

د چیک مارکس څیړونکو د مایکوس کاروونکي په نښه کولو د شکمن PyPI کڅوړه کشف کړه. پداسې حال کې چې کڅوړه ځان د کریپټو ټوکن هنټر بوټ په توګه وړاندې کوي ، ژور لید څرګنده کړه چې دا د ډیټا غلا کولو پیچلي تادیه لري. د روښانه پوهیدو ترلاسه کولو لپاره چې څنګه Meme-Token-Hunter-Bot خپل برید ترسره کوي، موږ یو فلوچارټ جوړ کړ چې د مالویر پروسې هر ګام ښیې.
featured image - د کریپټو وسیله یا ډیټا چور؟ څنګه Meme-Token-Hunter-Bot او د هغې کلونونه د macOS کاروونکو څخه غلا کوي
Moonlock (by MacPaw) HackerNoon profile picture
0-item

لیکوالان: کیسینیا یامبور، په مونلاک کې د مالویر ریسرچ انجینر د ماک پاو او میخیلو پازینیوک لخوا، د ماک پاو لخوا په مونلاک کې د مالویر ریسرچ انجینر


د خلاصې سرچینې سافټویر د نوښت لپاره بنسټیز دی مګر د استحصال دروازه هم پرانیزي. په دې وروستیو کې، د چیک مارکس څیړونکي پټ شوی یو مشکوک PyPI بسته چې د macOS کاروونکي په نښه کوي، نومول شوی "Meme-Token-Hunter-Bot." پداسې حال کې چې کڅوړه ځان د کریپټو ټوکن هنټر بوټ په توګه وړاندې کوي، یو ژور لید څرګنده کړه چې دا د ډیټا غلا کولو پیچلي تادیه لري.


په مونلاک کې ، چیرې چې موږ د macOS کاروونکو محافظت باندې تمرکز کوو ، موږ پوهیږو چې موږ باید پدې کې ژور کیندنه وکړو. لکه څنګه چې موږ پرتونه رابرسیره کړل، زموږ موندنې موږ 10 اضافي ذخیره کولو ته لاره هواره کړه - هر یو نږدې ورته کوډ شریکوي، د فرعي توپیرونو سره. ایا دا د اتوماتیک ګمارنې کار و؟ یو همغږي کمپاین؟ دلته دا ده چې تحقیق څنګه څرګند شو.

لومړی کتنه یوازې د کریپټو بوټ څخه ډیر

کیسه د "Meme-Token-Hunter-Bot" سره پیل کیږي، داسې ښکاري چې د کریپټو مینه والو لپاره د کارونې یو بل وسیله. د دې README کاروونکو ته لارښوونه کوي چې main.py اجرا کړي، یو فایل چې عموما د Python-based غوښتنلیکونو کې اصلي فعالیت پیل کوي. د لارښوونو په تعقیب، موږ main.py ته لاړ، یوازې د دې لپاره چې دا د بیس_helper.py په نوم یو مرستندویه سکریپټ غږوي. دا مرستندویه فایل به زموږ د تحقیق بنسټ وي.

د برید جریان نقشه کول

د روښانه پوهیدو ترلاسه کولو لپاره چې څنګه Meme-Token-Hunter-Bot خپل برید ترسره کوي، موږ یو فلو چارټ جوړ کړ چې د مالویر پروسې هر پړاو ښیې، د ابتدايي ترتیب څخه د ډیټا ایستلو پورې. دا بصری نمایش د کوډ کولو او پټو تاکتیکونو پرتونه څرګندوي چې په کڅوړه کې ځای په ځای شوي، بشپړ لید وړاندې کوي چې دا څنګه کار کوي.

زموږ فلوچارټ د main.py سره پیل کیږي، د پیل ټکی چې base_helper.py ته زنګ وهي که چیرې بسته معلومه کړي چې دا په macOS کې روانه ده.

په دې فایل کې د بیس64-کوډ شوي URLs او د فایل نومونه شامل دي، په متغیرونو کې ذخیره شوي لکه encoded_base_key او encoded_licences.

دا کوډ شوي ارزښتونه د سکریپټ اصلي هدف پټوي، هغه URL ماسک کوي چې د https://coinsw[.]app/basec/ سره نښلوي او نور فایلونه ~/tmpcode/ ډایرکټر ته ډاونلوډ کوي.

یوځل چې فایلونه ډاونلوډ شي ، زموږ په فلوچارټ کې بل ګام ښیې چې مالویر د MHTBot.py په نوم فایل پیلوي ، ټول ښکاره محصول /dev/null ته راستوي — خپل فعالیتونه د کاروونکو څخه پټ ساتي او د څارنې وسیلې ورته ساتي.

MHTBot

په فلوچارټ کې، MHTBot.py په برید کې د بدلیدو نقطې په توګه ولاړ دی. د PyQT5 په کارولو سره، دا فایل یو ګرافیکي کاروونکي انٹرفیس رامینځته کوي چې مشروع سافټویر نقل کوي، د پټنوم پرامپټ او د پرمختګ بار ښکاره کوي. دا پوښښ د کاروونکو د ډاډ لپاره ډیزاین شوی، پداسې حال کې چې په حقیقت کې، MHTBot.py په پټه توګه په شالید کې د ډیټا غصب کولو ماډلونو لړۍ فعالوي.

MHTBot.py د تېښتې یو هوښیار تخنیک کاروي: دا د لومړي پټنوم هڅه د "ناامنه" په توګه ردوي، یوازې دویم یې مني. دا جوړ شوی ځنډ احتمال لري چې د سینڈ باکس کشف مخه ونیسي ، ځکه چې ډیری سینڈ باکس چاپیریالونه محدود وخت لري چې ممکن د مالویر بشپړ فعال کیدو دمخه پای ته ورسیږي.

د دې د تیښتې تاکتیکونو د یوې برخې په توګه، Meme-Token-Hunter-Bot د خپل اصلي ډیټا غلا کولو عملیاتو پیل کولو دمخه ځنډ کاروي. دا ځنډ د سانډ باکس چاپیریالونو لخوا د کشف څخه مخنیوي لپاره هم ډیزاین شوی ، کوم چې ډیری وختونه د اتوماتیک تحلیل لپاره محدود وخت موده لري. د اجرا کولو په ځنډولو سره، مالویر د دې ابتدايي سکینونو تیریدلو او په ریښتیني کارونکي سیسټم کې په بشپړ ډول فعالولو امکانات زیاتوي.


لاندې سکرین شاټ د دې ځنډ لپاره مسؤل ځانګړی کوډ روښانه کوي. start_one_py_main_after_delayfunction د QTimer.singleShot په کارولو سره د 7000 ملی ثانوي (7 ثانیو) ځنډ پیل کوي، له هغې وروسته دا د run_one_py_main فنکشن ته زنګ وهي. دا فنکشن بیا د ډیټا غلا اصلي ماډل، one.py، په جلا تار کې حرکت کوي.

د معلوماتو غلا

لکه څنګه چې MHTBot.py کنټرول one.py ته لیږدوي، د مالویر لومړني ډیټا غلا کولو عملیات پیل کیږي. لاندې کوډ ټوټې څرګندوي چې څنګه one.py د کارونکي سیسټم څخه حساس معلومات راټولولو لپاره مختلف افعال او ماډلونه کاروي. راځئ چې د کوډ هره برخه او د هغې هدف مات کړو.


په لومړۍ برخه کې، موږ وینو چې اصلي () فنکشن د غلا شوي معلوماتو لنډمهاله ذخیره کولو لپاره پټ لارښود چمتو کوي. مالویر ~/.temp/premium/ د پټ لارښود په توګه رامینځته کوي ترڅو د کارونکي خبرتیا پرته فایلونه ذخیره کړي. د دې لارښود تنظیم کولو وروسته، فنکشن د ځانګړو غوښتنلیکونو څخه ډاټا راټولولو لپاره مختلف معمولونه غږوي:


  • mediax(): احتمال لري د ایپل نوټونه په نښه کړي ترڅو ذخیره شوي نوټونه استخراج کړي.

  • copy_stickies() او copy_stickies_database(): دا افعال د سټیکیز غوښتنلیک څخه ډاټا راټولوي.

  • backup_ssh(): د سیسټم څخه د SSH کیلي راټولوي.

  • copy_terminal_history(): د ترمینل تاریخي فایلونه کاپي کوي.

  • copy_ssh_and_keychain (): د SSH او macOS کیچین څخه ډاټا استخراج کوي.


دا دندې د غوښتنلیکونو، کارن اعتبارونو، او SSH تشکیلاتو څخه د ډیټا پراخه لړۍ راټولولو لپاره وقف شوي دي، چې one.py د ټول پوښښ ډیټا راټولونکی جوړوي.

د لټون_فایل () فنکشن، چې په راتلونکی کوډ کې لیدل کیږي، د ځانګړو فایل ډولونو په نښه کولو سره د معلوماتو راټولولو لاسرسی پراخوي. دا فنکشن د عام لارښودونو (ډاونلوډونو، اسنادو، ډیسټاپ، او کور ډایرکټر) له لارې د حساسو فایلونو لکه .txt، .csv، .json، .config، او .env سره د حساسو فایلونو لټون کوي. د دې فایل ډولونه اکثرا د ترتیب تنظیمات، API کیلي، او نور ارزښتناک معلومات لري.


موندل شوي فایلونه بیا لنډمهاله لارښود ته کاپي شوي ، کمپریس شوي ، او د ایستلو لپاره چمتو شوي. دا ګام ډاډ ورکوي چې کوم معلومات په ځانګړي ډول د کارونکي لارښودونو یا د پروژې ترتیب کولو فایلونو کې زیرمه شوي راټول شوي.

په لاندې ټوټو کې، د کاپی_ټرمینل_هیسټوری () او کاپي_ایسش_او کیچین () افعال مهم کارونکي ډیټا نیسي. مالویر د .zprofile او .zsh_history فایلونو څخه د ترمینل تاریخ استخراج کوي، په بالقوه توګه د کارونکي لخوا اجرا شوي امرونه ښکاره کوي، په شمول هر ډول حساس معلومات یا اسناد چې په ټرمینل کې ټایپ شوي.


برسیره پردې، د MacOS کیچین او SSH ډایرکټر ته لاسرسی لري ترڅو په سیسټم کې ذخیره شوي کوډ شوي اسناد، پاسورډونه، او SSH کیلي ترلاسه کړي، برید کونکو ته د لوړ ارزښت اسناد چمتو کوي.

د دې مالویر ترټولو د پام وړ برخه د دې د کریپټو والټونو په نښه کول دي. د zip_additional_wallets() فنکشن په ځانګړې توګه د مشهور کریپټو کارنسي والټونو سره تړلي لارښودونو ته ګوري. مالویر په سیستماتیک ډول د بټکوین ، الیکټروم ، کوینومي ، Exodus ، او نورو لوی کریپټو والټونو پورې اړوند د والټ فایلونو لټون کوي. یوځل چې وپیژندل شي ، دا د والټ لارښودونه زپ شوي او په لنډمهاله لارښود کې زیرمه شوي ، د ایستلو لپاره چمتو دي.

په مالویر کې د ټیلیګرام ډیټا غلا لپاره ځانګړي دندې هم شاملې دي. د backup_telegram() او backup_tdata() فنکشنونه د ټیلیګرام ډیټا لارښودونو ته ګوري ، په ایپ کې زیرمه شوي پیغامونو ، تماسونو او میډیا ته د لاسرسي هڅه کوي. د دې فایلونو په کاپي کولو سره، مالویر ممکن برید کونکو ته اجازه ورکړي چې د کارونکي ټیلیګرام مخابراتو او میډیا تاریخ بیا جوړ کړي.

exfiltration

د حساس معلوماتو راټولولو وروسته، Meme-Token-Hunter-Bot پرمخ ځي ترڅو ډیټا لیرې سرور ته انتقال کړي. دا افشا کول د یو لړ دندو سره اجرا کیږي چې د فایل نوم بدلول ، اپلوډ کول او د برید کونکي ټیلیګرام بوټ ته خبر ورکول اداره کوي. لاندې کوډ ټوټې روښانه کوي چې دا پروسه څنګه رامینځته کیږي.

د send_telegram_message فنکشن د مخکې تنظیم شوي ټیلیګرام بوټ ته پیغام لیږي، برید کونکو ته خبرداری ورکوي چې د غلا شوي فایلونو نوې ډله اپلوډ شوې. دا فنکشن ډاډ ورکوي چې برید کونکي د هر استخراج په اړه په وخت سره تازه معلومات ترلاسه کوي ، دوی ته اجازه ورکوي چې په ریښتیني وخت کې د معلوماتو غلا پروسه وڅاري.


د خپل شتون د لا مبهمولو لپاره، مالویر غلا شوي فایلونه د .minecraft توسیع سره بدلوي — یو غیر معمولي چال چې احتمال یې د اصلي شبکې د ننوتلو کشف سیسټمونو څخه د وتلو لپاره دی چې د ځانګړو فایل ډولونو څارنه کوي. یوځل چې نوم بدل شو ، upload_file د برید کونکي ریموټ سرور ته د معلوماتو لیږد پیل کوي. فایل د بائنری لوستلو حالت کې خلاص شوی او https://store1.gofile[.]io/ ته د requests.post() په کارولو سره اپلوډ شوی ، د عامه فایل شریکولو پلیټ فارم.


که اپلوډ بریالی وي (د 200 حالت کوډ لخوا ښودل شوی) ، فنکشن د ډاونلوډ لینک بیرته ترلاسه کوي ، کوم چې بیا د ټلیګرام له لارې برید کونکي ته لیږل کیږي.

11 اضافي ذخیره: لوی انځور

زموږ د تحقیقاتو په جریان کې، موږ شک درلود چې Meme-Token-Hunter-Bot ممکن یو جلا بسته نه وي. د نښه شوي GitHub کارول پوښتنه ('b25lLnB5' او 'requests.get(url)')، موږ د نږدې ورته کوډ سره 10 اضافي ذخیره وموندله. دې زیرمو د فایل نومونو او UI لیبلونو کې کوچني بدلونونه ښودلي ، احتمال د اتوماتیک ګمارنې ستراتیژۍ له لارې رامینځته شوي ترڅو د مالویر ډیری کاپي وساتي ، د دې شتون ډاډمن کوي حتی که یو ذخیره بیرغ یا لیرې شوی وي.

په زړه پورې، پداسې حال کې چې د Meme-Token-Hunter-Bot شاوخوا 10 میاشتې تیریږي، دا یوازې د 2024 په اګست کې د ناوړه کوډ شاملول پیل کړل، کله چې base_helper.py — د سټیج-2 Python غلا کولو لپاره مسؤل فایل لومړی معرفي شو. دې فایل ته وروستي تازه معلومات د سپتمبر په 28، 2024 کې جوړ شوي.

له بلې خوا، 11 اضافي ذخیره شاوخوا دوه میاشتې دمخه خپل ناوړه تازه معلومات ترلاسه کړل، کله چې base_helper.py اضافه شو. دا همغږي شوي وخت وړاندیز کوي چې دا ذخیره په ځانګړي ډول د مالویر توزیع کولو لپاره جوړه شوې وه ، د لومړني بریا او میتودونو رامینځته کول چې په Meme-Token-Hunter-Bot کې لیدل شوي.


موږ د دې ډیری زیرمو کې د ګیټ کیپر بای پاس لارښوونې هم وموندلې ، د macOS امنیت خبرتیاو بای پاس کولو له لارې کاروونکو ته لارښود کولو لپاره ډیزاین شوي. لارښوونې په ګام په ګام بصري بڼه کې وړاندې شوي، کاروونکي هڅوي چې په غوښتنلیک کې ښي کلیک وکړئ، "خلاص" انتخاب کړئ او د ګیټ کیپر خبرداری پریږدئ.

برسیره پردې، د 10 اضافي زیرمو په منځ کې چې پیژندل شوي، یو ډول د "سولانا-بوټ" په نوم و. پداسې حال کې چې دا د Meme-Token-Hunter-Bot په څیر ورته ناوړه جریان تعقیبوي، موږ لږ بدلونونه ولیدل، په ځانګړې توګه د فایل نومونو او د فعالیت کارولو کې. د سولانا-بوټ base_helper.py فایل او د Meme-Token-Hunter-Bot د یو بل سره د توپیر تحلیل دا توپیرونه روښانه کوي.

د سولانا-بوټ او Meme-Token-Hunter-Bot ترمنځ کلیدي توپیرونه د URL بدلونونه شامل دي.

 "aHR0cHM6Ly9jb2luc3cuYXBwL2Jhc2VjLw==" + "UENTQm90LnB5" = "https://coinsw.app/basec/PCSBot.py" <-- Solana-Bot "aHR0cHM6Ly9jb2luc3cuYXBwL2Jhc2VjLw==" + "TUhUQm90LnB5" = "https://coinsw.app/basec/MHTBot.py"

پایله

د Meme-Token-Hunter-Bot او د هغې اړوند ډولونو په اړه دا څیړنه د macOS کاروونکو په نښه کولو په احتیاط سره تنظیم شوي کمپاین څرګندوي. په اصل کې د چیک مارکس لخوا رڼا ته راوړل شوی، دا غلا کڅوړه په پیل کې د کریپټو وسیلې په توګه پټه شوې په پراخه ګواښ کې پراخه شوې. زموږ تحلیل 11 اضافي ذخیره کشف کړه، هر یو د اصلي کوډ لږ توپیرونه لري. داسې بریښي چې برید کونکو د دې ذخیره کولو ګړندۍ رامینځته کولو لپاره اتومات کار کړی ، په نومونو ، UI لیبلونو ، او فعالیت کې د کوچني بدلونونو په کارولو سره د کشف څخه مخنیوی او دوامداره شتون ډاډمن کړي.


په هرصورت، موږ د ماکوس کاروونکو په نښه کولو سره پیژندل شوي ټولنیز انجینري تاکتیکونه هم ولیدل، په ځانګړې توګه د ګیټ کیپر بای پاس لارښوونې. دا په ګوته کوي چې د ګواښ لوبغاړي لاهم په پراخه کچه د کارونکي باور په استثمار کولو تکیه کوي. سره له دې چې په دې کمپاین کې لیدل شوي پرمختللي تخنیکونه، د کارونکي په مرسته بای پاسونو باندې دا تکیه د کارونکي د دوامدارې زده کړې اړتیا په ګوته کوي.


پوهاوی تر ټولو ښه دفاع ده. سرچینې لکه د مونلاک بلاګ moonlock.com/blog د MacOS کاروونکو ته د اوسني ګواښونو او د دوی د امنیت ښه کولو لارو په اړه ګټور لیدونه چمتو کړئ.

IoCs په ټولګه کې شتون لري: https://www.virustotal.com/gui/collection/68e7bff75a6ceb5d3d4faabfdb0e106b6527382a2b29a17c59ec3ce7d8f4233b/iocs