O Segredo do novo Malware Russo que Ataca Hackers do Discord, CS, Valorant etc...

64.63k views3734 WordsCopy TextShare
Jansen Moreira
Atenção, não repita em casa! Como hackers invadem qualquer telefone: https://www.youtube.com/watch?...
Video Transcript:
esse maler não é o que parece ao contrário dos mawers que tentam atacar pessoas inocentes esse daqui visa atacar paneleiros e pseudo hackers do Discord que tendo tá eu não fazia ideia na doideira que eu tava entrando quando comecei isso daqui o que era para ser um vídeo simples se tornou bizarro e o que era para ser uma análise de Mauer se tornou um verdadeiro enigma parecido com os que o Celbit gravava antigamente só que na verdade era um esquema muito mais complexo um ataque muito bem orquestrado que infecta mods e cheats jogos famosíssimos como
5M CS Valorantet e outros jogos além de bote do Telegram bot criptomoeda carteira de criptomoeda e muito mais tudo isso sem ser detectado e por acaso eu acabei me metendo nessa furada e eu descobri isso da pior maneira encontrando uma mensagem do criador disso tudo comentar em russo nunca é um bom sinal achar nada em russo comentado em um código nunca é bom fabricante desconhecido se você chegou até aqui ainda tem um longo caminho a percorrer e daí pra frente tudo só piorou calma sem mais spoilha esse vídeo tá interessantíssimo eu fiz o máximo para
deixar esse vídeo bem simples para todo mundo conseguir entender então senta comigo relaxa e me acompanha nessa jornada [Música] bizarra tudo começou com esse comentário eu estava lendo os comentários do meu último vídeo e as histórias de como vocês foram hackeados e algumas foram muito interessantes inclusive se você tem alguma história comenta embaixo que eu vou estar fixando a melhor aqui nos comentários para que todo mundo possa ver e muito obrigado pelo feedback que vocês me deram no último vídeo me ajudou demais de qualquer forma eu fiquei muito curioso sobre o cara ser hackeado em
tão pouco tempo e comecei a pesquisar sobre mous do Discord e coisas desse gênero e foi aí que eu encontrei esse vídeo aqui esse vídeo falou sobre um tópico pouco comentado e muito interessante que é sobre como muit das vezes ferramentas mas e scripts até mesmo cheats de jogos contém maer ali dentro que são feitos justamente para infectar as pessoas que querem te infectar e o quão interessante isso é e aí eu descobri sobre algo também muito maneiro que se chama Discord Nuk é basicamente um script ou uma ferramenta que te permite zaralhar o Discord
da pessoa que você hackeou e como esses scripts são muito utilizados por script Kids eu comecei a pesquisar no GitHub por esse tipo de ferramenta pelo Discord do e eu achei um repositório muito interessante o código era bem recente e era feito majoritariamente em Python que é uma linguagem bem fácil de você conseguir tanto fazer engenharia reversa quanto analisar o código então eu comecei a dar uma olhada ele parecia ser bem legítimo na medida do possível e tinha até um alerta para não usar esse script indevidamente e que foi feito de forma educativa olhando no
código tudo parecia normal até que eu olhei a barra ali embaixo e vi que tinha alguma parte do código que tava muito pra direita olhando lá na direita a gente achou o nosso primeiro indício de que havia alguma coisa bizarra ali por trás a gente achou um código escondido e criptografado que iria nos permitir começar essa brincadeira essa técnica de esconder código é bem boba e geralmente só funciona com pessoas com pouco conhecimento como os script kids mas enfim ali estava o brinde que eu estava procurando um código escondido e ainda criptografado baixando o código
para analisá-lo de uma forma melhor eu percebi que esse código suspeito usar uma biblioteca chamada Furn para aqueles que não sabem bibliotecas ou pacotes são formas de implementar códigos já criados para realizar algum tipo de ação assim você não precisa gastar tempo criando algo que já foi desenvolvido e que faz o que você quer basta importar esse código e utilizar ele é sempre interessante ver os importes pois eles te dão uma ideia do objetivo e funcionalidade do script se alguém por exemplo importou uma biblioteca chamada Math é muito provável que existam contas e equações naquele
código voltando ao Furnet eu já tinha ouvido falar dele mas eu nunca tinha me aprofundado então decidi dar uma revisada o Furnet é uma biblioteca que te permite usar um tipo de criptografia chamada de criptografia simétrica o que significa que somente uma chave ou segredo é usada para codificar e decodificar uma mensagem que você escolher esse fato torna o nosso trabalho incrivelmente fácil já que para decodificar a mensagem que está codificada ele vai ter que fornecer a chave então a gente vai ter a chave e a mensagem baixa decodificá-la voltando à análise a gente vê
que ele vai executar alguma coisa e para ele poder decifrar o que ele vai executar ele primeiro passa a chave e depois a mensagem ou o código criptografado basta a gente pegar essa chave pegar essa mensagem entrar num site que decodifica pra gente jogar lá e pronto a gente já tem a próxima mensagem totalmente decodificada e pronto pra gente poder [Música] interpretar agora a parada começa a ficar meio embaçada diferente do vídeo que eu vi e comentei lá no início onde somente era utilizado furnit então ficava muito fácil aqui gerirer reversa agora subiu um pouco
nível e duas novas formas de codificação foram usadas para poder criptografar isso daqui e ao invés de utilizar uma biblioteca como ele fez da primeira vez usando Furnit ele decidiu criar o próprio algoritmo de criptografia utilizando o base 64 e uma cifragem tipo short simples com subtração e embora eu acho isso tudo muito interessante seria muito difícil de explicar isso e levaria muito tempo então vou deixar isso de lado e falar do que é importante nós ainda estamos utilizando um método simétrico de criptografia ou seja nós ainda utilizamos uma senha e ele precisa fornecer essa
senha esse segredo essa chave para que a gente possa descriptografar mensagem e se a gente analisar aqui bem o código nós temos três mensagens para serem descriptografadas e nós também temos ali a nossa senha basta a gente utilizar a própria função que o script tem para poder descriptografar essa mensagem já que ele já faria isso de forma adequada eu só preciso defusar esse script para que ele não continue fazendo as ações maliciosas que ele continuaria só que ele decifre aquela senha para isso eu vou escrever um script utilizando a própria função que tá ali nele
para poder descriptografar e o que a gente consegue ver ao fazer essa decodificação é que se tratam na verdade de três URLs isso faz muito sentido até porque o início de todas as mensagens era muito parecido o que geralmente é o indicativo que são URLs ano passadas e outro ponto é que todas as URLs têm o mesmo conteúdo isso é uma forma de prevenir que o seu código não seja executado já que é provável que um desses sites caia caso seja identificado que aquilo ali pode conter código malicioso o conteúdo das URLs é mais um
código codificado e o método de codificação foi o mesmo utilizado nas URLs então você utilizaria o próprio script aquela própria função para poder decodificar esse novo código e ele seria salvo no sistema como um arquivo temporário marcado como oculto e marcado também como sistema o oculto significa que o arquivo seria invisível a não ser que você marque a opção de mostrar arquivos ocultos no Windows já flex sistema é uma tentativa do Maer de se camuflar como um arquivo do próprio sistema ambas são técnicas muito conhecidas e usadas para invasão de detecção é uma forma de
tentar não ser percebido pelo usuário e pelo sistema após toda essa tramoia basicamente o código é enfim executado bom agora nós temos mais um código para decifrar mais um adendo se você tá se perguntando aonde que eu tô fazendo esses testes eu criei um ambiente muito seguro e mais pro final vou comentar sobre ele e como você pode se proteger de maes e coisas desse gênero mas enfim dando prosseguimento ao analisar esse código nós achamos um lembrete uma surpresinha lá embaixo nós temos um comentário em russo se você chegou até aqui ainda tem um longo
caminho a percorrer no momento que eu vi isso eu dei uma trancada eu não vou mentir mas até agora tava tudo muito tranquilo então eu não fiquei tão preocupado em si com a dificuldade bom eu ziquei essa merda pra a partir daqui tudo ficou insuportável e muito difícil de prosseguir mas não se preocupa eu tentei reduzir o máximo possível e você não vai precisar ficar me acompanhando em horas tentando fazer engeneriair a reversa desse programa então vamos prosseguir aqui o código em si não tinha nenhuma novidade pra gente ele usa o mesmo método de criptografia
utilizado no script anterior mas uma senha diferente e ainda presente no código então basta a gente decodificar o real problema é o arquivo que a sua RL baixa ela não é mais um código bobinho em pai é algo realmente construído e desenhado pensando em infectar e manter a vítima infectada por bastante tempo esse arquivo é o que realmente importa tudo aqui é completamente descartável tudo foi feito para você baixar esse searchfuture.7z de verdade até aqui eu tava levando tudo na brincadeira mas as coisas realmente começaram a ficar sérias caso você não esteja familiarizado com os
APTs essa é uma forma que chamamos grupos de hacking de elite geralmente financiados por países ou organizações de primeira quando um país sofre um cyberataque de peso que sai nos jornais e coisas desse gênero geralmente esses apts financiados por um país adversário geralmente até mesmo são do exército ou algo desse gênero e bom é com um desses grupos que nós vamos começar a nos envolver [Música] agora com a ORL na nossa mão a gente vai começar a baixar o arquivo e analisar ele o primeiro ponto suspeito desse arquivo é o fato dele ter senha geralmente
arquivos com senhas e pado são muito suspeitos e são usados para poder botar mauer sem que o antivírus capte de primeira ou que o Gmail bloqueie porque o antivírus e o Gmail vão precisar da senha para poder ali decodificar e realmente executar o que tá ali dentro no script que a gente decodificou anteriormente tinha senha ali para esse zip bastava a gente ali ver ela então a gente vai conseguir extrair ele sem problemas o outro ponto bem suspeito é o repositório do KitHub que a gente baixou esse arquivo ele existe há mais de uma década
além disso ser extremamente estranho é uma grandiosíssima de uma red flag e embora eu tivesse meio suspeitas agora eu descobriria mais pra frente que isso não é um caso isolado e que isso aconteceu na verdade em massa de todo modo a primeira coisa que eu fiz foi pegar esse download e jogar ele no Virus Total um site que usa dezenas de anírus para identificar se um arquivo contém vírus ou não ele é muito útil e ainda possui um sandbox que em termos simples é um computador isolado no qual um será executado e analisado assim a
gente consegue tentar identificar os comportamentos interações URLs enfim dá pra gente tentar ver o que que o mal tá fazendo para minha surpresa quase nenhum antivírus identificou nada é comum um ou dois detectarem algo mesmo que não tenha nada ali mas os sand box também não detectaram nada e geralmente é ali que o bicho pega então isso foi muito estranho e a razão para tudo isso era muito óbvia eu só não tava prestando muita atenção ali na hora bom como os antivírus não pegaram nada eu tive que apelar eu precisei analisar aquilo ali mais de
perto e a primeira coisa que eu fiz foi começar a analisar os outros arquivos que estavam ali dentro tirando o executável principal que levava o nome da pasta o searchfiluture xr a pasta tinha uns conteúdos bem suspeitos e com extensões bem esquisitos a primeira delas foi a ponto pack que aparentemente foi desenvolvida pela EA eu não entendi muito bem isso aparentemente a E Sports envolveu essa extensão para poder criar certos conteúdos para o The Sims 1 pro Sims 3 e por algum motivo tava aqui dentro bom a verdade é que hoje em dia a extensão
pack é muito usada pelo Electron um framework de JavaScript que é muito utilizado em aplicações com interface gráfica o Discord é um ótimo exemplo do uso do Electron agora por que que um Mawer que foi baixado de forma sorreteira no seu computador está utilizando um framework designado para aplicativos com interface gráfica essa é uma ótima pergunta que vai ser respondida mais para frente o próximo arquivo suspeito usava uma extensão chamada Pontoazar que eu não conhecia no momento mas ao pesquisar eu descobri que ela é usada no Electron e é uma forma de compactar dados ou
seja mais uma coisa muito estranha como não achei nada muito concreto aqui eu decidi voltar ao software principal e comecei a utilizar realmente ferramentas de engenharia reversa até agora eu só tava analisando os códigos em Python o que basicamente eu só precisava ler não tinha uma grande análise ali por trás e para descriptografar e encriptar eu podia utilizar o próprio Python aí as chaves que estavam ali dentro agora eu realmente teri que pegar um binário e tentar transformar ele em algo legível e algo que eu consigo entender e esse processo é chamado de engenharia reversa
antes disso eu utilizei um software para ver se existe algum tipo de proteção ou assinatura nesse aplicativo que poderia dificultar esse processo de engenharia reversa e essa ferramenta me trouxe uma informação muito interessante esse programa realmente utiliza a biblioteca do Electron o que não faz muito sentido porque se a gente voltar lá no Virus Total a gente vai ver que o nome desse programa aparentemente é Microsoft Windows Search Indexer o que é estranho por si só mas se a gente levar em consideração o Electon fica cada vez mais estranho então eu dei uma procurada no
que é esse programa do Windows e eu descobri que esse software realmente existe e ele é responsável por te ajudar na hora de pesquisar por arquivos internamente no Windows o interessante é que muitas pessoas reclamam desse software acusando ele de usar muita CPU de ser estranho coisas desse gênero e isso pode favorecer o criador do Mawer já que muitas pessoas que vissem esse programa puxando muita CPU e suspeitariam e quando pesquisassem descobririam que só se trata de um programa legítimo da Microsoft que funciona mal todas essas esquisites me levaram a criar teorias e narrativas sobre
como esse mal funciona e aonde o código maligno realmente está e foi aí que as palavras do russo realmente começaram a fazer [Música] sentido eu fiquei muito mas muito tempo analisando essa desgraça assim a maioria dos arquivos ali não tinha nada nenhuma informação minimamente relevante o único arquivo que tinha alguma coisa era o principal search future e as informações que eu tirei dele não eram muito importantes a primeira delas que tinha certa relevância era o fato de existirem múltiplas referências ao Microsoft Search Indexer assim como Copyrights e também o fato de múltiplas vezes a gente
encontrar o Electron sendo executado ou chamado nesse programa e isso tudo começou a me levar a refletir que não tinha como aquele programa ser de fato Mau e que ele era só uma distração e que ele na verdade era quem chamava algum arquivo que executaria esse Mauer ou que tivesse o código malicioso e aí nós chegamos a mais uma etapa aonde eu paro de fazer engenharia reversa e começo a levar mais em consideração o tipo de relacionamento que esse arquivo tem com outros arquivos e sabe onde eu posso ver esse tipo de relação isso mesmo
no vírus total lá a gente tem uma basinha chamada relations aonde a gente consegue ver aonde esse ma né esse arquivo já foi visto anteriormente ou seja se nós temos duas pastas com esse arquivo dentro a gente vai poder ver essa ligação entre essas duas pastas outro ponto que eu não tinha prestado muita atenção mas que agora faz toda a diferença é o score desse programa ele está negativo ao ir na aba de comunidade eu vejo algumas mensagens interessantes falando que esse mauer faz parte de outro programinha uma ferramenta de hacking e que ele na
verdade comprometia o usuário daquela ferramenta e que ele tava escondido ali dentro eu tentei acessar os links que estavam ali mas eu não tive sucesso todos estavam fora do ar então eu voltei pra abra de relations para tentar achar algum outro zip que poderia ter a mesma pasta ou mesmos arquivos que o meu para tentar traçar ali um grupo em comum outro ponto intrigante é que a primeira análise desse Mawer que a gente pode ver ali no J relation foi feito a cerca de 4 c meses atrás ainda em 2024 o que é muito estranho
porque maeries são difíceis de serem detectados no início quando a assinatura deles não tá muito conhecida mas depois dele ser bastante enviado no virus total é muito fácil de ser identificado e assim já teria sido muito flagrado pelos antivírus que a gente analisou aqui todavia esse não foi o caso e aí me surgiu uma outra ideia muito interessante e se na verdade esse maler tivesse fatores de delay e você precisasse seguir certos critérios específicos para ele ser ativado como uma bomba precisa estar em um certo lugar ou atender certos requisitos para explodir aí seria muito
mais difícil de você analisar algum tipo de comportamento estranho nele o que diminuiria as chances de algum antivírus detectá-lo então comecei a investigar os arquivos que são relacionados a esse binário um desses arquivos me chamou bastante atenção o nome desse arquivo parecia muito ser o nome de um arquivo temporário e se você voltar um pouco no vídeo pois você vai ver que eu comentei que no script de Python essa era uma das ações que ele executava ele mudava o nome do arquivo para um arquivo com o nome de arquivo temporário e aí que eu me
liguei cara alguma coisa tem aqui dando uma olhada no resultado do scan desse arquivo a gente vai notar uma parada muito interessante das 17 flags 15 foram para um arquivo que a gente conhece muito bem o app.azar e aí que tudo se encaixou na minha mente a primeira coisa que eu percebi é que o desenvolvedor desse maler tá mantendo ele bastante atualizado quando eu fiz a análise nada foi encontrado o que ok eu não prestei muita atenção naquela época mas agora faz bastante sentido ele tá modificando ele tá modificando ofuscação deixando mais ofuscado tornando o
Maurer mais forte e mais protegido mas ok eu voltei agora pra análise do meu ponto azar para ver se eu consigo identificar alguma coisa e uma coisa que eu não tinha anotado antes e que eu comecei a prestar atenção agora é na aba de comentários vê na aba de comentários só tem uma única coisa que pode parecer suspeita mas foi a minha salvação um link para um blog chinês bom traduzindo esse blog para português porque eu não entendo nada de chinês nós temos acesso a uma pesquisa e análise completa feita pelos chineses em cima do
nosso MA que no final se tornaria um backdoor o que significa que os hackers teriam completo acesso ao seu computador e poderiam fazer o que eles quisessem e a partir dessa análise dos chineses nós conseguimos confirmar algumas das nossas suspeitas a primeira suspeita de que esse mal poderia ter sido desenvolvido por esses grupos altamente especializados os apts estava confirmada como nós podemos observar que esse maur é extremamente completo e ele sem dúvidas foi desenvolvido porque eles acreditam ser aptússia que estavam tentando ganhar algum tipo de privilégio em outros países atacando diversas ferramentas diferentes outra suspeita
confirmada foi sobre a ativação do MA sim esse mal foi extremamente bem grafitado inclusive ele precisava de fatores muito específicos para ser ativado e os chineses criaram um script de monitoramento para tentar entender melhor quando ele era ativado e conseguir interceptar a comunicação depois dos chineses analisarem as mais de 20.000 linhas de código de JavaScript escritas para poder ofuscar esse maler e também interceptar as requisições e o tráfego que esse maler tava realizando com os atacantes eles conseguiram entender algumas coisas e também conseguiram tiraram um e-mail que estava vinculado a uma das contas Kit Hub
que haviam sido hackeadas esse meio de proveniência russa apontando mais uma vez paraa probabilidade disso ser obra dos russos estava vinculado a mais de 38 contas no KitHub todas associadas a essas contas cobriam várias coisas diferentes e tecnologias diferentes como eu comentei muita coisa bote do Telegram bote do Discord eh botes de criptomoeda cheats e mods de jogo como por exemplo Hell Divers e CS2 Valorant 5M enfim muitas coisas eu vou est deixando o link aqui embaixo para você analisar e ver se você não foi um comprometido mas o que importa é que essa pode
ser somente um dos e-mails associados é possível que existam muitos mais como por exemplo o que eu encontrei que muito possivelmente não é o que tá aqui já que é muito recente tudo isso pode parecer um pouco banal ou fantasioso mas não é algumas dessas ferramentas eles criaram com o único propósito de infectar e espalhar e se isso chegou no Discord no Hell Divers vai saber aonde isso não chegou outro ponto também é que a investigação dos chineses constatou que o plano deles não foi criado agora e que tá em execução há mais de um
ano ele só foi descoberto mais ou menos agora então tudo isso começa a parecer cada vez mais perigoso e novamente eu te falo toma cuidado com o que você baixa da internet yeah
Copyright © 2025. Made with ♥ in London by YTScribe.com