O mercado de criptomoedas agora vale mais de US $ 2,5 trilhões. Infelizmente, esse fato não é esquecido pelos agentes de ameaças. Além de usar a própria criptomoeda para extrair resgates, os cibercriminosos agora também estão adaptando o malware para explorar o mercado em expansão de NFTs e jogos criptográficos. Em uma descoberta de importância crítica para qualquer pessoa familiarizada com este espaço, Morphisec Labs tem encontrado uma nova campanha de entusiastas segmentação criptomoeda de malware através de Discórdia.
Crucialmente, o crypter que esta campanha implanta, que chamamos de Babadeda (um espaço reservado no idioma russo usado pelo próprio crypter que se traduz como “vovô-vovô”), é capaz de contornar as soluções antivírus baseadas em assinaturas. Embora algumas variantes deste crypter tenham sido observadas por outros fornecedores, Morphisec é o primeiro a divulgar totalmente como ele funciona.
Para as vítimas, isso torna as infecções altamente prováveis - e perigosas. Sabemos que esse instalador de malware foi usado em uma variedade de campanhas recentes para entregar ladrões de informações, RATs e até mesmo ransomware LockBit. Felizmente, no entanto, mesmo com o aumento do nível de ameaça para usuários de criptomoedas, também sabemos que a tecnologia de Defesa de Alvo Móvel da Morphisec é capaz de ver e parar Babadeda.
Nesta postagem do blog, vamos explorar como o Babadeda está sendo entregue, o que uma análise técnica aprofundada desse malware nos diz sobre ele e como ele pode ser interrompido.
COMUNIDADES CRIPTOGRÁFICAS E NFT SÃO ALVOS PRINCIPAIS
Desde maio de 2021, observamos várias campanhas de distribuição de malware. No entanto, muitas das infecções recentes que vimos parecem estar relacionadas a uma campanha sofisticada que visa exclusivamente as comunidades Crypto, NFT e DeFi. É precisamente por esse motivo, além do fato de que os NFTs estão crescendo em popularidade, que decidimos dar uma olhada nesta distribuição de campanha específica com mais detalhes.
Para aqueles que não estão familiarizados com NFTs (token não fungível): o termo se refere a tokens exclusivos que fornecem prova de propriedade dos dados armazenados na tecnologia blockchain. Nos últimos anos, os NFTs explodiram em popularidade e agora estão começando a entrar na consciência dominante. Naturalmente, essa tendência crescente no espaço criptográfico abriu um novo vetor a ser explorado pelos agentes de ameaças.
THE DELIVERY CHAIN
A grande maioria das comunidades NFT e criptográficas de hoje é baseada nos canais Discord (uma plataforma de bate-papo em grupo). Os canais de discórdia são acessíveis ao público e permitem que os usuários enviem mensagens privadas uns aos outros dentro de um canal.
Na campanha que observamos, um ator de ameaça aproveitou esses recursos para fazer phishing nas vítimas. O agente da ameaça enviou aos usuários uma mensagem privada convidando-os a baixar um aplicativo relacionado que supostamente concederia ao usuário acesso a novos recursos e / ou benefícios adicionais. Como o ator criou uma conta de bot do Discord no canal oficial da empresa, eles conseguiram se passar por conta oficial do canal.
Abaixo está um exemplo de uma mensagem de phishing que tinha como alvo os usuários de “Minas de Dalarna”, um jogo para PC criado com base no blockchain.
Se um usuário clicar no URL dentro da mensagem, ele será direcionado a um site falso. Lá, o usuário será encorajado a baixar um instalador malicioso que incorpora o Crypter com a carga útil.
Como você pode ver no exemplo acima, o ator da ameaça tomou medidas extensas para garantir que a cadeia de entrega pareça legítima até mesmo para usuários técnicos. Tipicamente:
- Cybersquatting – os nomes de domínio dos sites falsos se parecem muito com os nomes de domínio dos sites originais. Os atores da ameaça geralmente removem / adicionam uma letra de / para o nome de domínio ou alteram o domínio de nível superior.
- Os domínios são assinados com um certificado (via LetsEncrypt), que permite uma conexão HTTPS.
- A IU das páginas de chamariz é muito semelhante à IU das páginas originais.
- Ao clicar em “Baixar APP”, o site geralmente navegará para /downland.php, que redirecionará a solicitação de download para um domínio diferente (isso torna menos provável que alguém detecte um site falso).
Curiosamente, em um desses sites falsos, notamos um objeto HTML escrito em russo. Isso sugere que as origens do ator da ameaça podem ser em um país de língua russa, já que eles provavelmente se esqueceram de traduzir o objeto HTML de seu idioma nativo para o inglês.
EXEMPLOS DE SITES CHAMARIZ
A tabela a seguir mostra alguns exemplos de sites chamarizes usados nas campanhas que observamos.
Domínio Original | Domínio Isca | Descrição | IP resolvido | Nome do instalador |
opensea.io | openseea[.]net openseaio[.]net | O mercado NFT mais popular | 185,117,2[.]82 | OpenSea-App_v2.1-setup.exe |
larvalabs.com | larvaslab[.]com larva-labs[.]net | Os criadores de CryptoPunks – O mais popular PFP NFTs | 185,117,2[.]81 185,117,2[.]82 45,142,182[.]160 | LarvaLabs-App_v2.1.1-setup.exe |
boredapeyachtclub.com | boredpeyachtclub[.]com | BAYC – um dos mais populares PFP emaranhados neurofibrilares | 185,117,2[.]4 185,212,130[.]64 | BAYC-App-v2.1-release.exe |
Identificamos pelo menos 82 domínios criados entre 24 de julho de 2021 e 17 de novembro de 2021, com a seguinte distribuição de tempo de registro (crédito para @msuiche).
THE PAYLOADS
A tabela a seguir rastreia os RATs usados pelo ator de ameaça desta campanha específica:
Datas Observadas | RATO | C2 |
11 de novembro de 2021 – 22 de novembro de 2021 | Remcos | 65.21.127.164[:]4449 |
14 de outubro de 2021 – 22 de outubro de 2021 | BitRAT | 135.181.6.215[:]7777 |
09 de setembro de 2021 – 14 de outubro de 2021 | BitRAT | 135.181.140.153[:]7777 |
24 de agosto de 2021 – 07 de setembro de 2021 | BitRAT | 135.181.140.182[:]7777 |
ANÁLISE TÉCNICA DO CRYPTER BABADEDA
Durante nossa pesquisa, encontramos diferentes variantes do mesmo Crypter – todas contendo o mesmo fluxo de execução principal (denotado pela figura acima). Ao investigar o Crypter, vimos como era importante para o agente da ameaça ocultar suas intenções maliciosas dentro de aplicativos legítimos para evitar a detecção. A figura a seguir enfatiza a complexidade das técnicas evasivas que são implementadas no Crypter.
O INSTALADOR
Depois de baixado e executado, o instalador malicioso copia seus arquivos compactados em uma pasta recém-criada com um nome de aparência legítima (ou seja, IIS Application Health Monitor ) em um dos seguintes caminhos de diretório:
C: \Users\<user>\AppData\Roaming\ C: \Users\<user>\AppData\Local\
Os arquivos maliciosos são copiados junto com muitos outros arquivos de código aberto ou relacionados a aplicativos gratuitos. À primeira vista, os arquivos do diretório podem parecer legítimos. Porém, olhando atentamente para esses arquivos, fica claro que alguns deles são suspeitos e devem ser inspecionados, conforme mostra a figura abaixo.
EXECUÇÃO DO CRYPTER
Após eliminar os arquivos mencionados, o Instalador inicia a execução através do executável principal (número 1 na figura acima).
Notamos que, neste ponto, algumas variantes exibem uma mensagem de erro falsa que interrompe a execução até que o usuário interaja com a mensagem. Esta mensagem falsa pode ser usada como uma técnica de evasão de soluções de segurança. Como alternativa, sua função pode ser enganar o usuário, fazendo-o pensar que o aplicativo falhou ao executar, mesmo que continue silenciosamente com a execução mal-intencionada em segundo plano.
Ao analisar as duas variantes diferentes, podemos ver a implementação desta caixa de mensagem:
Como podemos ver na figura abaixo, o código da função é muito mais longo em comparação com o código real de carregamento da DLL. Isso porque o ator implantou suas ações em um código de aplicativo legítimo para confundir os analistas, ofuscar suas reais intenções e tornar mais difícil a detecção de soluções antivírus.
DLL DO CARREGADOR DO SHELLCODE
O ator da ameaça geralmente incorpora os próximos estágios da execução em um arquivo adicional, geralmente um arquivo XML ou PDF. No entanto, também observamos tipos de arquivo adicionais, como JavaScript, Texto e PNG.
Aqui, como antes, o ator incorpora o código malicioso em diferentes códigos legítimos. Extraímos as seções relevantes para demonstrar claramente a atividade do malware:
A lógica maliciosa começa lendo o arquivo adicional (neste caso, um arquivo XML) e chamando kernel32! Sleep por 35 segundos (a duração muda entre as variantes). Em seguida, ele carrega todo o arquivo na memória e inicia sua tarefa de análise.
A primeira parte analisada do arquivo é um shellcode localizado em um deslocamento pré-calculado (neste caso, 0x88D8C e sobrescreve o executável no deslocamento 0x1600).
As características da seção executável .text são configuradas para RWE (Read-Write-Execute) – dessa forma o ator não precisa usar VirtualAlloc ou VirtualProtect para copiar o shellcode e transferir a execução. Isso ajuda na evasão, pois essas funções são altamente monitoradas por soluções de segurança. Depois que o shellcode é copiado para o executável, a DLL chama o ponto de entrada do shellcode (shellcode_address).
IMPLEMENTAÇÃO DE PERSISTÊNCIA
Se o crypter estiver configurado para instalar persistência, a DLL do carregador executará uma nova thread que carrega outra DLL (dos arquivos compactados) que tratará dessa tarefa.
A DLL recém-carregada usará uma das seguintes lógicas ou ambas para implementar a persistência:
- Grave um arquivo.lnk na pasta de inicialização que executa o executável principal do Crypter.
- Grave uma chave Run do registro que execute o executável principal do Crypter.
THE DECRYPTION SHELLCODE
O arquivo XML (ou qualquer outro tipo de arquivo usado pelo criptografador) contém os seguintes componentes:
- O primeiro shellcode (referido nesta seção).
- Um shellcode adicional criptografado (referido na próxima seção, o shellcode do Loader)
- Uma carga criptografada.
O shellcode de descriptografia tem três tarefas principais: primeiro, ele extrai o shellcode do Loader e a carga útil, depois os descriptografa e, por fim, transfere a execução para o shellcode do Loader descriptografado.
O shellcode de descriptografia começa com a localização dinâmica da estrutura de configuração, procurando por uma sequência de seis ou mais bytes idênticos. Essa configuração contém ponteiros para o shellcode do carregador e a carga útil final; eles são criptografados e divididos dentro do XML.
Com base nisso, podemos identificar a configuração dentro do arquivo XML:
Usando essa configuração, o malware itera sobre cada fragmento, copia-o e o descriptografa usando a chave de descriptografia indicada (a configuração muda entre as amostras).
Em seguida, o shellcode procura por dois espaços reservados DWORD, 0xBABADEDA e 0xDEADBEAF . Ele substitui o primeiro espaço reservado pelo endereço da carga útil descriptografada e o último pelo tamanho da carga útil. Esses dados são usados no próximo estágio, o shellcode do Loader.
O LOADER SHELLCODE
O objetivo do código do shell do Loader é injetar a carga útil descriptografada no próprio processo em execução no momento.
Podemos dividir o mecanismo de carregamento em três estágios: inicialização, injeção e correção.
INICIALIZAÇÃO
Esta etapa é responsável por definir os dados relevantes que serão usados durante as etapas de injeção e correção.
Para começar a inicializar, o Loader primeiro salva o endereço da carga útil descriptografada e o tamanho da carga útil de acordo com os endereços do placeholder. Em seguida, ele analisa os cabeçalhos PE da carga útil para extrair o tamanho da imagem e o ponto de entrada de acordo com o endereço base do executável atual. O Loader analisa a estrutura _PEB para localizar o endereço base do executável atual e o LDR_DATA_TABLE_ENTRY que será usado posteriormente. Finalmente, ele carrega dinamicamente a função VirtualProtect usando um valor de hash pré-calculado (0xF1C25B45 em nosso caso).
INJEÇÃO
Este estágio é bastante simples. Dentro dele, o Loader sobrescreve o PE atual com o PE da carga útil final. Ele faz isso copiando os cabeçalhos PE e cada seção de acordo com o endereço base do executável atual.
Uma vez que os bytes anteriores tenham sido apagados, o Loader copia os novos cabeçalhos PE para o endereço base e cada seção para o local relevante de acordo com IMAGE_SECTION_HEADER.
CORREÇÃO
O estágio final é responsável por consertar a tabela de endereços de importação e a tabela de realocação do PE recém injetado.
- mw_construct_IAT
- Carregue as funções GetModuleHandleA, LoadLibraryA e GetProcAddress por hash (0x9FE4FCE1, 0x85557334 e 0xF23B576D respectivamente).
- Repita o IAT do novo PE.
- Carregue cada função e atualize seu endereço.
- mw_construct_RELOC
- Calcule o delta entre a base da imagem anterior e a atual.
- Repita cada entrada na tabela de realocação.
- Adicione o delta ao valor da entrada.
Além de corrigir o endereço de importação e as tabelas de realocação, o Loader remove as evidências de injeção usando os seguintes métodos:
- Atualize a entrada da tabela de dados LDR para corresponder ao PE injetado.
- Remova os cabeçalhos PE injetados da memória.
Essas etapas tentam escapar dos scanners de memória que buscam dados LDR e PEs na memória incompatíveis.
Finalmente, o malware salta para o ponto de entrada do PE recém-injetado com os argumentos de linha de comando originais.
CONCLUSÃO
Como demonstrado acima, Babadeda é um criptografador altamente perigoso. Visar usuários de criptomoedas por meio de vetores de ataque confiáveis oferece a seus distribuidores uma seleção crescente de vítimas em potencial. Uma vez na máquina da vítima, mascarar-se como um aplicativo conhecido com uma ofuscação complexa também significa que qualquer pessoa que dependa de malware baseado em assinatura efetivamente não tem como saber que Babadeda está em sua máquina – ou impedi-lo de ser executado.
Para atenuar a ameaça representada por Babadeda, é necessário proteger a memória do dispositivo a que se destina. Uma tecnologia que transforma crypters de captura de memória, como o Babadeda, antes que eles possam ser implantados.
IOCS
Arquivo | SHA256 |
instalador | 99e6b46a1eba6fd60b9568622a2a27b4ae1ac02e55ab8b13709f38455345aaff |
difserver.exe | 358211210e0bb34dd77073bb0de64bb80723f3434594caf1a95d0ed164ee87a1 |
libfont-0.6.dll | ce3758d494132e7bef7ea87bb8379bb9f4b0c82768d65881139e1ec1838f236c |
libxml3.dll | 0ceead2afcdee2a35dfa14e2054806231325dd291f9aa714af44a0495b677efc |
menu.xml | 080340cb4ced8a16cad2131dc2ac89e1516d0ebe5507d91b3e8fb341bfcfe7d8 |
YARA RULE
rule BABADEDA_Crypter
{
meta:
description = “Detects BABADEDA Crypter”
author = “Morphisec labs”
reference = “https://blog.morphisec.com/the-babadeda-crypter-targeting-crypto-nft–defi-communities”
strings:
$entry_shellcode = {55 8B EC 83 EC 58 53 E8 F8 03 00 00 89 45 FC 8B 45 FC 83 C0 11 89 45 CC 8B 45 FC 8B 40 09 8B 4D CC 8D 04}
$placeholder_1 = {8138DADEBABA}
$placeholder_2 = {8138AFBEADDE}
condition:
$entry_shellcode and all of ($placeholder_*)
}
DECOY DOMAINS
aave-v3[.]com abracodabra[.]net alchemixfi[.]com apeswaps[.]net app.sushi-v3[.]com arbitrums[.]com artblocks[.]us astar-network[.]com avalanche-network[.]com avax-bridge[.]com avax-bridge[.]net avax-network[.]net avax.wallet-bridge[.]net avax.wallet-network[.]net avax.wallet-network[.]org babydogescoin[.]com boredpeyachtclub[.]com bridge-avax[.]com bridge-avax[.]net bridge-avax[.]us c-nft[.]net casper-network[.]com compoundfinance[.]net cryptoblade[.]net decentralands[.]net diviprojects[.]com dydxexchange[.]net galagamesapp[.]com hedera[.]run illuviums[.]com keep-network[.]net klimadao[.]net larva-labs[.]net larvaslab[.]com looprings[.]net luckybuddhaluckyclub[.]com mangomarkets[.]net mineofdalarnia[.]net monstasinfinite[.]net moonebeam[.]com near-protocol[.]com network-avax[.]net network-avax[.]org nft-opensee[.]com olympusdao[.]fund openseaio[.]net openseea[.]net optinism[.]net polkadot-network[.]com projectseeds[.]net projectsserum[.]net rareble[.]net rocketspool[.]net secretswaps[.]net sia-tech[.]net solanarts[.]com solsoulnft[.]com sushi-app[.]com sushi-v3[.]com sushi-v3app[.]com terra-money[.]net thetatokenfund[.]com wallet-avalanche[.]com wallet-avalanche[.]net wallet-avalanche[.]org wallet-avax[.]com wallet-avax[.]info wallet-avax[.]net wallet-bridge[.]net wallet-network[.]net wallet-network[.]org wa let.bridge-avax[.]us wallet.network-avax[.]org wonderlaned[.]com zed-run[.]net
HASHES
0098b2c38a69132bfde02d329d6c1c6e2b529d32d7b775a2ac78a369c0d10853 0115ba0f26a7b7ca3748699f782538fa761f7be4845a9dc56a679acea7b76cd3 062f019515bff366fcbf49cca3f776c21e2beb81c043a45eea81044a9391fd97 112282b873bdbeb5614fc8658934a99d666ba06c4e2840a21cd4458b426a4cad 120213353ac7bd835086e081fb85dfa4959f11d20466fd05789ded3bff30bb11 1252c9103805e02324d2aecb5219e6a071c77b72477eba961621cb09a2138972 140d9a4a2ec5507edf7db37dcc58f2176a0e704e8f91c28a60a7f3773e85e1aa 14da3566bc9f211528c1824330c46789396447c83c3c830bb91490d873025df8 18c01e1f6e0185752dbf8c9352d74ade56ac40d25ae701d4a5954b74d0c7aeea 196ec622eb7d9420b1c04b3856467abeb3ca565d841f34c3c9a628afc10775c8 214d6681f5d82d4fa43e7a8676935ef01ddab8d0847eb3018530aedffe7ebb55 2e5455e268cf12ebc0213aa5dacb2239358c316dda3ec0f99d0f36074f41fb09 2fc8dedf82997894bb31a0eca96ae3c589863ec9bf4d1e2af0a84f2e9c3ef301 3270599801099d3b5399eb898f79d7b7ec0d728c71d5177244b8110757365ade 39b4dc69dd29011135732a881152f99dc19310cb906b7255a3e9ef367258094d 3c844e66f0dafdced0861a8e2ff54fd762ba170bf5082fb2c38cdbbac5a7fecb 3e52c251dc8683e0f374bcbea27b4b700c05dc39db13336859acbbd32590fe7c 3e6a29c04270a4b62375946fdb4c392a1c9b3f64ef391f85bdd67cb78426889f 44e00bef4b6d3f03a845208b925c129a5fe1b9ef6ed8cd27144c5e94176aaa6e 462f7543326630d209b6433936f0c54f8920d6b5505e88d802ee060320ea8106 4e6eed44594054ea42f9860c1e53744649a319788e2cb7f1f624e435cbdec43d 54391ff27b632a36430889dda51cfa46b694badcae2f0ce952065642c94d89df 6342d9c9e087945651b11cec4903f083a20d31182e0be5b2b6030df0a980ff68 65363debbbb9a691838e823c34807a9770db30c2af616c5574231af2b16d6aef 6e4d56a438062210ba8ca68dee690c1692960ff36936c96586f74ee194e1c821 6f247a74aa62fea0577da869fda841170ce6f1fe0e1b9f3b0d8172d336bb7dc6 71d0c5b5916cc5f91370f42fbfd249795e7c40526ae204becdd20fe453b53e8d 72df0397893e1ac981063fbcc0ad048543ba7143ba824f2bb0aa5dfb61538ce6 7c8242812137aad072fe1cb78d49d01187b869d43ebcfcd87eb590c1bc9f1246 7e827e1981d2ccaec16a5b646976b0d492d555a20b9ba5dd4ba0d605dfcab2f7 86b1cf4e6952db195842809ffd7e88e5fdaca8b2b2c0005e995d34cbe9d157ad 8b9120fc400510de52fb5c6689f403e5c0aaba3ff58e2ee114286c2cf09615b5 8ce8c448b5958da3c59874594de428b783116d8c1cf440ab804633799d88af8e 90faf9b85d96a09cb689be3a52669a58df2e9ea53b150a97d05de641e624f634 95d226710f37a870a338344afac6350b48c5d70c7ac8518c42f694eb0f6aa7c5 9b132e1d883c4f513d4ac3a5735a28a1917cfde837ee4a4b632a66cce5aa8be2 a2545370b390e52376d12776152aff9285b9b3fe6610d2f8dd24b11ccb14c5b3 a2e090192bf0b3b00f5bbef0b81858bc17861fedd82e93f0ab6d60777ca6820e af0c213a2cfb62e6a9ce788c3860c627e035401b75df7f60eb64d4f4bc196aa2 b5fe6db30b741f515df94238c8d1a3c51a84fe72f218751c86a254801c3233ee b6dc8341fd38dacb7a2a38a14a21afbab8e7e3f31f2fd29f0bcd7d4eb83e203c bcaaab0cd2178acdf025c7f23f10ab01906a99aca5d07e3a7e261928f8f91695 c21e2be7324afb67f1e5cf9fbc95dc346db2ec62d9d8db7b0da9377a00346f41 c97893d936b5e1203fb926e7ab612ffd488578e9791f07be4a6eabc83645fb5b ca70f7b046f5909f0134a1c465fda3794344f45055ba2dfa802623bd326fe5b6 d360daf106314561e9ec57075dd4f544ad52680678a644e186758650a405b765 d548c2e3479c6c7a20ffa8a8402aa00c45aaef24102daf5c94c54a8a6013f370 d76e7a14ab20d3f28de1ecef803d8b1629ed077495db5ec7b7f5828ed33c684e de644e637da7cd117517b1bb96ee0f58131515013a322366d680f613afa31bc4 e5f55a5ecd7315c9e028738ced66d42852569dd061e15610a054c2121c9ed4d9 e99d32952bda84f32425681229ec544849156e479b7247e3e480f3a23a39c915 f24492ceab91f70c3dd3c5040184dae3bc38804c872ae948ed1ee6906a890b16 fb04bc486bf7b6574b5b7caf1ed4f1a21e9e7463adf312219f767a58e8fb2be1 fde7bd78e2085f364e0eb145c77b57b8bfa5bacf6a3e6eaed4b9e3a97c065a80 fde8ca7c729a25e723a3738a1b5520f29ef2100ba2d9a2739aa30176b039f511
CRYPTER HASHES
AMADEY STEALER
4d02224a7dadfc2d8a1343fdc51e4634a98bd073f867bfd091e667efd112108a 384292cad1c05552ccbd691de48865ce75375f7e601db66b3f5cad0f8f294d6c 5dd0e9ef811c199a06758d65b66d051d3b0057971b021df0928ede727fe17371 e312af68203fd80a2dd86a69460941ce29709424310abffd66fd7323a2b8ef6e
CRYPTBOT
83aa33a24f0751cae8342045071638739981304b37fc036da342f15ccebaf482 c69fd2882bcda2ae6b24235babcc570f31774a45698edbaaea70e1b9d9fd315e 58fba0f609b5363b1fbb792e0b2def924b770b2f57329f383cf691ef5988055e 1a31f5a7bc1c5782ab9e7a401a2a474ee75e571adfa1f7685c13258653e8af7d 2dc6785721bc9369090ce77d47b6b85eb4c9fba88d4c29675b5c98195c653f3c 89d3acf2cfd33516f0aaaf901226c1c8936c33ded480115cbb56b4d11fc0d405 3f3f0c883ada23e33685a015dbd59a08668fa80bf3248b4fbc3b00dac1fb4305 66b5d71b2ae6f7569b050130ccb548785925d4ff14ccfd5fa9738e8b444cbd97 d2fc2159debd0a2222673cdc028c5f88ca5cc6c72f5665d60c5d27806757cff2 8e113203dd97f0f33562db9086b0eadeb5ea1242738abd80ae872ac3552a2599 58b3a4ec25d09191c9f5cb064a4ac4ea35a51cf1dd5e26e5d5bc63662c49c2ce 3fdd54336ae1400d16fd36013844953d8cbfa2982516f3d40ed2a18f58f82609 2b7425ae37127535adf331bdba2e4b126dc7a67890f2974fa95624b06b3ff248 a49d63a099d6499875e6b46268054b63d582303c7eac93a65ff00537ab22f487 d69e8d0678be5a8da741058f0ae2a6f99ffb8e3326ac50fda54336b23a546fc6 e51597f0749cbb7b8b53795383f891158ab7a5af350d803f8bba787ba1d3af87 240e6edb33f1d5578084bd8422792770d3bafea1581b58e45eb6f89a889f41bd dd5f6a8a3f255be6e5b8c7402be7059298bcfea15931752e10ea0be59ad08063 3b0cf91645b6ac772fc518bd5d145db4e7750af4e8239cc46734350ddf4595bd 85c2e909efb713bdb2fb402dd380ada3bcc5ff92776ab95cafaeda7e47ea6dc4 94f8745d09bc73fa393b77c944bb7230fc68235fd5049c32c31612eb31747224 fe828cf68e77f09d903d17e4318e585ca5753b5cc1a8e7fdb081244ee6e29464 36cba5140248916ece6706fee52c892e7284b8c1dde007b273cf8adf1e2565ae 979a0dd895e91925b1664d6e475f5046c1b0243a9999b6d15c96480437ddf931 65a1fe7f19a41fbf7ac6196d5e54900558c948603a86de7e4920129556293723 7c34b54d3dd6d4b36587667cb52201ca8412ec23e0a6d062cceddb703104d0c9 ca00f9b232a297b1896a96c01b4835cafa0b050d62b6b891b74d6c799e6e6d26 3f6c89a650f439f01b2435425946f5b5eab475da42ee04088fd552bc59644613 fd274f7faace98d5660ea1a13dd74cade60626bf10cc5e4a66c0c76d8e018ad8 496e1715c87a07b92d9214810bcd3fc6880b88b93246e94ad9421f3434076660 6ff84a220c1f0d6c078de2bc9961dcda11ea21eabebc86576798f5d1a0548e11 3d59fa24db23fb548796b2632a3c94ea6be2c2a64236b470bcbcb5bfc6e1d915 8a217e632ef9f099bae955699c9eb497c6227a642486f64c903a336fdd0f3ac5 03b9c509e7ff704be0431c541a3571360b52edac361b3d9ce627b4e93c53be17 bbe8ee94ed612d25d1378980dbe529ad018f1a2ed0521c0621f81ae54bc2d516 c885a22bdd7d046c4a616e639cc91dc94cabb972108bdc2d9540fcbe393241d1 1ef9df7881ad13c6865aa6161390df6580eb648c3c05a35db706c7b5d7a238f5 6009bf01b6ede3fd35ef88aee476c1cb77ed32c54fd467b2d6173b59af8510c2 d90f581c543cba58332c5c67e2a464387142e72bb9d6960bcc9dd52ef2a948f4 db9b014740b96a6b7e277cf456a19260533dadf8b36652d05e374b098c93f63c df7f07f9b0c6ff27b0011f3a6daa5ca4b73f554b6a1ed319dce05919c3c4e18c dc5ffac866a06926359e00872ce7cc7b85d2ddf09abdc3371ac101be4e7ed46e 98110cbc2802dc27b9d9fe5ba5ceeece06cf3ed93974dfeb1ce26f2b5c43e23c 75837a43d3df5f8ec3117279edcfc255c69be9aaf2eed9d0d3cc98bf3b06ae01 ae0cd5b88a754affa47410a0fa9d9b38582c21b8e06c32273206fa15551efdb3 beb4c0c6486545826c2ec5fa5ba44d02abeb20558e55f47c51366523cacdde27 50f424ee3a86842df558da44cc247fd7bd4d1d7bf5439b8732883aa840a9fceb 0bf886695f19c711bd63d145518301270e247830259eb29c83bd0ee135f53ee7 aa2e234a48e1f19d8dfd1885aa7ea0c73b1d22faee0f3b208dc65762e6ba374d 49caac5d027dadb4db266ac999842ed7ea10b245750f8b31af738b4bfdcc5ade 464f8fc360e64cdf07c837d5911f93b60cb99ee0ff531ffb0422652c7d6124d6 0ef94ff905ef764a4aab4cc90d657dd681b434e13df35c01c6473ee3813dd34e 64b451280c906afb57198e787eaa18780abd3932bc7cf3742a5e58ccb1ccf204
LOCKBIT
778eb09cac51aa75b6e3c32e78adfe0e9292af40d0f800fb3ae569198945a9ef 5b9e6d9275e9523aa3945be891745442a07b936ee5236e23934250ba3844f65f 17c6f4e45d44bd4c06212139f521976b87ed5a6ddcd0e4e5e978e64dabb3883f 237bc833db8c72cedf0a09bd642567aa31cc74dd6bcfe5b67871f375d617ec85 446736e381fa8942f8d32cb4f2ae8fb6a9245fa0e70b7f7298ee7a5cb6fe9f32 668434940877f747a5d3adc745548bcfdcc881418f02e705204df2ad54a311cb 74b4d14d2d1af6642d5867eb89c277aa02f5e4ac667d87b5aca380f40eabe1bf c920b2de025019e9a406e9b2f0ac2cbbfc18d65eac15f59ca8921c5fb4bfa240 d25116f1fe5c9a22fcf73c4c7358f93f1ad445bb9a602d18ff69f8fa29d0be0f e80579baf175626787070bf61f75b4b810eb9d9bdb653972ad40797ee5ff82cc 1ee311c3f24397de3f6671b67a263206e78f8040f5ac2fc0182d0ee171c53228 4b3a396f8230fc87b7fc47aa1d7ed19c78867f3dd43fd570ea93748390be58d5
URSNIF
04595c3111276f02b6dc2ece0778cb5829c086484aeafa24e0aac3d8479deb4b e2c83783d6ab57ac91d99bfb9d607d0b5537e305661406bbf2347c3af92d3464 676a540a91b9ffb4a18af0f4355561f3579ee4cbbf0740a80e482af92e8cdc07 716ce7fe411f352686b4071074aa96e1456ab7a67445b3cf1c475e18a4e5ac25 ceba6a7f9a2c25a35090470c6209aefed808786c47194a18415a7898390c20cb e203345d8120bd6d29e667bbceb92083ebb55e36b21cd22d669aa2f91830a656
SMOKELOADER
79ae89733257378139cf3bdce3a30802818ca1a12bb2343e0b9d0f51f8af1f10 1ae5c809ea8fabce9c699c87416d73ba5ab619accef6deeb26c2c38f39323181 ee8f0ff6b0ee6072a30d45c135228108d4c032807810006ec77f2bf72856e04a
FICKERSTEALER
bd8d1264a88d5cdd701a4ee909b70beaec39d216c988b33bfb30f25aee3540ee 1f53d6f4fb02c8663b9d377570953d07c56df297674b7c3847d1697f0e5f8165 cf88923b7d0287884870af999a8d64f90c7deeb4c4d09feed406472ff259b30d
METASPLOIT REVERSE HTTP
b8990f204ca595e23562aa8063fd163651771626ba4acf45890f25315616fc1e
QUASARRAT
e8a8581cd3594a3937762f90d20ab889e7868bb88e9249f96222bd48643d7dea
Fonte: Morphisec
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.