Fake-Cloudflare-Verifizierung mit Infostealer-Payload gefunden
Hallo zusammen,
ich bin beim lesen von ZM-Online auf einen Beitrag über Dr. Rick und Dr. Nick gestoßen. Dabei habe ich mir aus Interesse ihre Website angeschaut. Weiterführend auch die Seite mit den Preisen. Dabei stieß ich auf eine Cloudflare-Captcha die mir verdächtig erschien: ich sollte doch bitte meine PowerShell öffnen und einen Befehl hineinkopieren. Das war mir nicht ganz geheuer, sodass ich schnell mein Chat-Tool der Wahl um Hilfe bat und in ein tiefes Rabbit-Hole gefallen bin.
Disclaimer: ich habe ein wenig Erfahrung mit Linux/EDV/Programmiersprachen aber würde mich hier auf gar keinen Fall als Crack-Head betiteln. Jedoch möchte ich, dass dieses Problem - gerade weil viele Nutzer den Artikel lesen, die genannte "Praxis"-Website besuchen und vielleicht weniger skeptisch sind - Reichweite bekommt.
Ich habe einen Pi als VM aufgesetzt und dann die CURL Abfrage gemacht, jedoch kam nur eine leere Antwort, da der Endpoint gesehen hat, dass es keine PowerShell ist. Ich habe den Request modifiziert und dann eine Antwort erhalten.
Die geladene Datei enthielt C#-Code, welcher direkt eine weitere Stage lädt und ausführt. Diese lud ich ebenfalls und bekam eine 53kb große .bin zurück. Mit ein paar Prompts konnte ich es dann disassemblieren und konnte dynamische API-Auflösung, Speicherallokation, Entschlüsselungsroutinen etc. feststellen. Weiterführend habe ich dann mit viel Hilfestellung die Entschlüsselungslogik mit Python rekonstruieren können, wodurch klar wurde, dass diese Stage irgendwie WinHTTP für regionale/Systeminformationen nutzt sowie nachzuladende URLs. Diese URLs laden eine weitere Stage (student_s.bin). Dieses enthält ein natives PE und ein eingebettetes .NET-Assembly. Dann habe ich mit monodis versucht einen Einstieg zu finden und wieder mit Hilfestellung die obfuskurierten Strings (Hex-/Nibble-Endcoding) entschlüsselt.
Es zeigte sich, dass konkrete Daten abgefragt wurden zB. Chromium- und Firefox-Daten, Logins, Cookies, Verlauf, Profile, Telegram-, Discord- und Steam-Daten. Auch wallet-bezogene Daten werden erfasst.
Ich habe keine Ahnung an welchem Punkt die Seite kompromittiert ist, weswegen ich deutlichen Abstand von Schuldzuweisungen nehme. Ich bin über jeden hilfreichen Kommentar und jede Analyse dankbar und versuche so gut es geht eure Fragen zu beantworten.
Lg