Распространение вирусов с помощью СИ

PHANTOM

Команда форума
Модератор
Регистрация
Сообщения
736
Реакции
36
Очень известная и актуальная проблема последних годов - как сделать так, чтоб ваш файл открывали. Это может быть что угодно: стиллер, майнер, ратник и т.п., суть остается одна - люди не доверяют посторонним файлам. Но есть другая сторона, люди доверяют людям, от этого мы и будем отталкиваться в данной статье.

Для начала, нам потребуется информация о жертве. Желательно о ее интересах и о том, чем она занимается, проводя время за компьютером. Есть стереотип о том, что чем прошареннее человек в IT, тем сложнее будет впарить ему вирус. Открыто говорю - все наоборот. И сейчас наглядно покажу почему.

Алгоритм действий таков:

1) Собираем информацию

2) Выясняем время, в которое жертва бывает у компьютера

3) Маскируем наш файл под то, что может быть интересно жертве и скидываем. Причем, маскировка может подразумевать даже обычную смену имени файла/иконки.

Всего три шага. Звучит, конечно, легко, но на деле это не так.

В общем, была у меня ситуация, месяц назад примерно, я случайно вместе с админкой своего стиллера подарил нескольким людям логи с тестов на своем компе (ебать лох, да). Ну и кто-то активно начал пытаться перевести деньги с киви кошелька. На следующий же день мне пишет челик, говорит, не знаешь как можно деньги с киви вывести, где смс-подтверждение стоит?

94e14a02acef4b7ca0681.png


Ну а далее я его направил в свою конфу. Через день приходит вот это:

fa1d1ad44ef50c5891ebe.png

d27658758ecd2fd492f3a.png


Такой "тонкий" намек не понять было невозможно, поэтому я пару дней пытался ему подыгрывать, дико рофля (про логи в админке я ему рассказал сразу после этого, он сказал что даже не заходил в нее). В итоге решил наказать крысеныша и слить его логи в паблик, закинув ему стиллак.

Далее вопрос - как заставить запустить стиллер человека, который сам покупал стиллер, майнер, знает как все это работает и проверяет каждый файл на вирустотале? Мне на тот момент было известно, что у него на компе есть (был скрин с рабочим столом): AG (софт подмены счета матча), пару лабораторных работ в ворде, купленный у меня стиллер, и майнер, который я ему дал в "подарок" за то что он сообщил об этом "инциденте".

Собственно, варианты у меня были следующие:

1) Предложить вместо AG (он нужен был для склейки) ему другой похожий софт (VangaBet какой-нибудь). - Но зачем ему предварительно запускать его? Скорее всего он проверил бы на ВТ + запускал бы на виртуалке такое.

2) Скинуть ему стиллер под видом .doc под предлогом того, что у меня завалялся реферат на его тему. - Сразу отбросил эту идею, бред полнейший т.к. я лезу вообще не в свои дела за коим-то хером.

3) Придумать что-либо с майнером/стиллером оказалось идеальным вариантом. Т.к. и на вт он такое не зальет (ему же хуже) и если захочет запускать можно сослаться на защиту от виртуализации.

Я принял третий вариант во внимание и начал искать за что можно зацепиться (в диалоге). После чего нашел пару жалоб на детект майнера и вопрос о перекрипте.

Что мы имеем: парню нужен рекрипт и я у него в "долгу"

Первое что пришло мне в голову - это дать ему стиллер под видом билдера майнера, "чтоб он сам мог делать рекрипт", и, это сработало:
22fa808d22dd1d99b24ad.png

ef2463ed60862cdaa9a82.png

После этого я раскидал его логи везде где только смог, а он, в конечном итоге, признав свою вину, слился и был таков. Возможно, вам покажется, что я поступил несправедливо, ведь я сам виноват в том, что совершли ошибку, и окажетесь отчасти правы. Но, такой уж я человек, что мне было уже просто принципиально заставить чувствовать его то, что чувствовал я.

Вывод: всегда нужно отталкиваться от настоящих потребностей человека, не выдумывая лишнего и накручивая себе в голове гениальных планов. В 70% случаев заставить человека запустить exe файл намного проще, чем какой-нибудь документ или картинку.
 
Сверху