O CRYPTER BABADEDA – UM CRYPTER EMERGENTE QUE VISA AS COMUNIDADES CRYPTO, NFT E DEFI

Por

24 de novembro de 2021 09:50

O mercado de criptomoedas agora vale mais de US $ 2,5 trilhões. Infelizmente, esse fato não é esquecido pelos agentes de ameaças. Além de usar a própria criptomoeda para extrair resgates, os cibercriminosos agora também estão adaptando o malware para explorar o mercado em expansão de NFTs e jogos criptográficos. Em uma descoberta de importância crítica para qualquer pessoa familiarizada com este espaço, Morphisec Labs tem encontrado uma nova campanha de entusiastas segmentação criptomoeda de malware através de Discórdia.

Crucialmente, o crypter que esta campanha implanta, que chamamos de Babadeda (um espaço reservado no idioma russo usado pelo próprio crypter que se traduz como “vovô-vovô”), é capaz de contornar as soluções antivírus baseadas em assinaturas. Embora algumas variantes deste crypter tenham sido observadas por outros fornecedores, Morphisec é o primeiro a divulgar totalmente como ele funciona.

Para as vítimas, isso torna as infecções altamente prováveis - e perigosas. Sabemos que esse instalador de malware foi usado em uma variedade de campanhas recentes para entregar ladrões de informações, RATs e até mesmo ransomware LockBit. Felizmente, no entanto, mesmo com o aumento do nível de ameaça para usuários de criptomoedas, também sabemos que a tecnologia de Defesa de Alvo Móvel da Morphisec é capaz de ver e parar Babadeda.

Nesta postagem do blog, vamos explorar como o Babadeda está sendo entregue, o que uma análise técnica aprofundada desse malware nos diz sobre ele e como ele pode ser interrompido.

COMUNIDADES CRIPTOGRÁFICAS E NFT SÃO ALVOS PRINCIPAIS

Desde maio de 2021, observamos várias campanhas de distribuição de malware. No entanto, muitas das infecções recentes que vimos parecem estar relacionadas a uma campanha sofisticada que visa exclusivamente as comunidades Crypto, NFT e DeFi. É precisamente por esse motivo, além do fato de que os NFTs estão crescendo em popularidade, que decidimos dar uma olhada nesta distribuição de campanha específica com mais detalhes.

Para aqueles que não estão familiarizados com NFTs (token não fungível): o termo se refere a tokens exclusivos que fornecem prova de propriedade dos dados armazenados na tecnologia blockchain. Nos últimos anos, os NFTs explodiram em popularidade e agora estão começando a entrar na consciência dominante. Naturalmente, essa tendência crescente no espaço criptográfico abriu um novo vetor a ser explorado pelos agentes de ameaças.

THE DELIVERY CHAIN

A grande maioria das comunidades NFT e criptográficas de hoje é baseada nos canais Discord (uma plataforma de bate-papo em grupo). Os canais de discórdia são acessíveis ao público e permitem que os usuários enviem mensagens privadas uns aos outros dentro de um canal.

Na campanha que observamos, um ator de ameaça aproveitou esses recursos para fazer phishing nas vítimas. O agente da ameaça enviou aos usuários uma mensagem privada convidando-os a baixar um aplicativo relacionado que supostamente concederia ao usuário acesso a novos recursos e / ou benefícios adicionais. Como o ator criou uma conta de bot do Discord no canal oficial da empresa, eles conseguiram se passar por conta oficial do canal.

Abaixo está um exemplo de uma mensagem de phishing que tinha como alvo os usuários de “Minas de Dalarna”, um jogo para PC criado com base no blockchain.

Se um usuário clicar no URL dentro da mensagem, ele será direcionado a um site falso. Lá, o usuário será encorajado a baixar um instalador malicioso que incorpora o Crypter com a carga útil.

Como você pode ver no exemplo acima, o ator da ameaça tomou medidas extensas para garantir que a cadeia de entrega pareça legítima até mesmo para usuários técnicos. Tipicamente:

Cybersquatting – os nomes de domínio dos sites falsos se parecem muito com os nomes de domínio dos sites originais. Os atores da ameaça geralmente removem / adicionam uma letra de / para o nome de domínio ou alteram o domínio de nível superior.
Os domínios são assinados com um certificado (via LetsEncrypt), que permite uma conexão HTTPS.
A IU das páginas de chamariz é muito semelhante à IU das páginas originais.
Ao clicar em “Baixar APP”, o site geralmente navegará para /downland.php, que redirecionará a solicitação de download para um domínio diferente (isso torna menos provável que alguém detecte um site falso).

Curiosamente, em um desses sites falsos, notamos um objeto HTML escrito em russo. Isso sugere que as origens do ator da ameaça podem ser em um país de língua russa, já que eles provavelmente se esqueceram de traduzir o objeto HTML de seu idioma nativo para o inglês.

EXEMPLOS DE SITES CHAMARIZ

A tabela a seguir mostra alguns exemplos de sites chamarizes usados nas campanhas que observamos.

Domínio Original	Domínio Isca	Descrição	IP resolvido	Nome do instalador
opensea.io	openseea[.]net openseaio[.]net	O mercado NFT mais popular	185,117,2[.]82	OpenSea-App_v2.1-setup.exe
larvalabs.com	larvaslab[.]com larva-labs[.]net	Os criadores de CryptoPunks – O mais popular PFP NFTs	185,117,2[.]81 185,117,2[.]82 45,142,182[.]160	LarvaLabs-App_v2.1.1-setup.exe
boredapeyachtclub.com	boredpeyachtclub[.]com	BAYC – um dos mais populares PFP emaranhados neurofibrilares	185,117,2[.]4 185,212,130[.]64	BAYC-App-v2.1-release.exe

Identificamos pelo menos 82 domínios criados entre 24 de julho de 2021 e 17 de novembro de 2021, com a seguinte distribuição de tempo de registro (crédito para @msuiche).

THE PAYLOADS

A tabela a seguir rastreia os RATs usados pelo ator de ameaça desta campanha específica:

Datas Observadas	RATO	C2
11 de novembro de 2021 – 22 de novembro de 2021	Remcos	65.21.127.164[:]4449
14 de outubro de 2021 – 22 de outubro de 2021	BitRAT	135.181.6.215[:]7777
09 de setembro de 2021 – 14 de outubro de 2021	BitRAT	135.181.140.153[:]7777
24 de agosto de 2021 – 07 de setembro de 2021	BitRAT	135.181.140.182[:]7777

ANÁLISE TÉCNICA DO CRYPTER BABADEDA

Durante nossa pesquisa, encontramos diferentes variantes do mesmo Crypter – todas contendo o mesmo fluxo de execução principal (denotado pela figura acima). Ao investigar o Crypter, vimos como era importante para o agente da ameaça ocultar suas intenções maliciosas dentro de aplicativos legítimos para evitar a detecção. A figura a seguir enfatiza a complexidade das técnicas evasivas que são implementadas no Crypter.

O INSTALADOR

Depois de baixado e executado, o instalador malicioso copia seus arquivos compactados em uma pasta recém-criada com um nome de aparência legítima (ou seja, IIS Application Health Monitor ) em um dos seguintes caminhos de diretório:

C: \Users\<user>\AppData\Roaming\ 
C: \Users\<user>\AppData\Local\

Os arquivos maliciosos são copiados junto com muitos outros arquivos de código aberto ou relacionados a aplicativos gratuitos. À primeira vista, os arquivos do diretório podem parecer legítimos. Porém, olhando atentamente para esses arquivos, fica claro que alguns deles são suspeitos e devem ser inspecionados, conforme mostra a figura abaixo.

EXECUÇÃO DO CRYPTER

Após eliminar os arquivos mencionados, o Instalador inicia a execução através do executável principal (número 1 na figura acima).

Notamos que, neste ponto, algumas variantes exibem uma mensagem de erro falsa que interrompe a execução até que o usuário interaja com a mensagem. Esta mensagem falsa pode ser usada como uma técnica de evasão de soluções de segurança. Como alternativa, sua função pode ser enganar o usuário, fazendo-o pensar que o aplicativo falhou ao executar, mesmo que continue silenciosamente com a execução mal-intencionada em segundo plano.

Ao analisar as duas variantes diferentes, podemos ver a implementação desta caixa de mensagem:

Como podemos ver na figura abaixo, o código da função é muito mais longo em comparação com o código real de carregamento da DLL. Isso porque o ator implantou suas ações em um código de aplicativo legítimo para confundir os analistas, ofuscar suas reais intenções e tornar mais difícil a detecção de soluções antivírus.

DLL DO CARREGADOR DO SHELLCODE

O ator da ameaça geralmente incorpora os próximos estágios da execução em um arquivo adicional, geralmente um arquivo XML ou PDF. No entanto, também observamos tipos de arquivo adicionais, como JavaScript, Texto e PNG.

Aqui, como antes, o ator incorpora o código malicioso em diferentes códigos legítimos. Extraímos as seções relevantes para demonstrar claramente a atividade do malware:

A lógica maliciosa começa lendo o arquivo adicional (neste caso, um arquivo XML) e chamando kernel32! Sleep por 35 segundos (a duração muda entre as variantes). Em seguida, ele carrega todo o arquivo na memória e inicia sua tarefa de análise.

A primeira parte analisada do arquivo é um shellcode localizado em um deslocamento pré-calculado (neste caso, 0x88D8C e sobrescreve o executável no deslocamento 0x1600).

As características da seção executável .text são configuradas para RWE (Read-Write-Execute) – dessa forma o ator não precisa usar VirtualAlloc ou VirtualProtect para copiar o shellcode e transferir a execução. Isso ajuda na evasão, pois essas funções são altamente monitoradas por soluções de segurança. Depois que o shellcode é copiado para o executável, a DLL chama o ponto de entrada do shellcode (shellcode_address).

IMPLEMENTAÇÃO DE PERSISTÊNCIA

Se o crypter estiver configurado para instalar persistência, a DLL do carregador executará uma nova thread que carrega outra DLL (dos arquivos compactados) que tratará dessa tarefa.

A DLL recém-carregada usará uma das seguintes lógicas ou ambas para implementar a persistência:

Grave um arquivo.lnk na pasta de inicialização que executa o executável principal do Crypter.

Grave uma chave Run do registro que execute o executável principal do Crypter.

THE DECRYPTION SHELLCODE

O arquivo XML (ou qualquer outro tipo de arquivo usado pelo criptografador) contém os seguintes componentes:

O primeiro shellcode (referido nesta seção).
Um shellcode adicional criptografado (referido na próxima seção, o shellcode do Loader)
Uma carga criptografada.

O shellcode de descriptografia tem três tarefas principais: primeiro, ele extrai o shellcode do Loader e a carga útil, depois os descriptografa e, por fim, transfere a execução para o shellcode do Loader descriptografado.

O shellcode de descriptografia começa com a localização dinâmica da estrutura de configuração, procurando por uma sequência de seis ou mais bytes idênticos. Essa configuração contém ponteiros para o shellcode do carregador e a carga útil final; eles são criptografados e divididos dentro do XML.

Com base nisso, podemos identificar a configuração dentro do arquivo XML:

Usando essa configuração, o malware itera sobre cada fragmento, copia-o e o descriptografa usando a chave de descriptografia indicada (a configuração muda entre as amostras).

Em seguida, o shellcode procura por dois espaços reservados DWORD, 0xBABADEDA e 0xDEADBEAF . Ele substitui o primeiro espaço reservado pelo endereço da carga útil descriptografada e o último pelo tamanho da carga útil. Esses dados são usados no próximo estágio, o shellcode do Loader.

O LOADER SHELLCODE

O objetivo do código do shell do Loader é injetar a carga útil descriptografada no próprio processo em execução no momento.

Podemos dividir o mecanismo de carregamento em três estágios: inicialização, injeção e correção.

INICIALIZAÇÃO

Esta etapa é responsável por definir os dados relevantes que serão usados durante as etapas de injeção e correção.

Para começar a inicializar, o Loader primeiro salva o endereço da carga útil descriptografada e o tamanho da carga útil de acordo com os endereços do placeholder. Em seguida, ele analisa os cabeçalhos PE da carga útil para extrair o tamanho da imagem e o ponto de entrada de acordo com o endereço base do executável atual. O Loader analisa a estrutura _PEB para localizar o endereço base do executável atual e o LDR_DATA_TABLE_ENTRY que será usado posteriormente. Finalmente, ele carrega dinamicamente a função VirtualProtect usando um valor de hash pré-calculado (0xF1C25B45 em nosso caso).

INJEÇÃO

Este estágio é bastante simples. Dentro dele, o Loader sobrescreve o PE atual com o PE da carga útil final. Ele faz isso copiando os cabeçalhos PE e cada seção de acordo com o endereço base do executável atual.

Uma vez que os bytes anteriores tenham sido apagados, o Loader copia os novos cabeçalhos PE para o endereço base e cada seção para o local relevante de acordo com IMAGE_SECTION_HEADER.

CORREÇÃO

O estágio final é responsável por consertar a tabela de endereços de importação e a tabela de realocação do PE recém injetado.

mw_construct_IAT
- Carregue as funções GetModuleHandleA, LoadLibraryA e GetProcAddress por hash (0x9FE4FCE1, 0x85557334 e 0xF23B576D respectivamente).
- Repita o IAT do novo PE.
- Carregue cada função e atualize seu endereço.
mw_construct_RELOC
- Calcule o delta entre a base da imagem anterior e a atual.
- Repita cada entrada na tabela de realocação.
- Adicione o delta ao valor da entrada.

Além de corrigir o endereço de importação e as tabelas de realocação, o Loader remove as evidências de injeção usando os seguintes métodos:

Atualize a entrada da tabela de dados LDR para corresponder ao PE injetado.
Remova os cabeçalhos PE injetados da memória.

Essas etapas tentam escapar dos scanners de memória que buscam dados LDR e PEs na memória incompatíveis.

Finalmente, o malware salta para o ponto de entrada do PE recém-injetado com os argumentos de linha de comando originais.

CONCLUSÃO

Como demonstrado acima, Babadeda é um criptografador altamente perigoso. Visar usuários de criptomoedas por meio de vetores de ataque confiáveis oferece a seus distribuidores uma seleção crescente de vítimas em potencial. Uma vez na máquina da vítima, mascarar-se como um aplicativo conhecido com uma ofuscação complexa também significa que qualquer pessoa que dependa de malware baseado em assinatura efetivamente não tem como saber que Babadeda está em sua máquina – ou impedi-lo de ser executado.

Para atenuar a ameaça representada por Babadeda, é necessário proteger a memória do dispositivo a que se destina. Uma tecnologia que transforma crypters de captura de memória, como o Babadeda, antes que eles possam ser implantados.

IOCS

Arquivo	SHA256
instalador	99e6b46a1eba6fd60b9568622a2a27b4ae1ac02e55ab8b13709f38455345aaff
difserver.exe	358211210e0bb34dd77073bb0de64bb80723f3434594caf1a95d0ed164ee87a1
libfont-0.6.dll	ce3758d494132e7bef7ea87bb8379bb9f4b0c82768d65881139e1ec1838f236c
libxml3.dll	0ceead2afcdee2a35dfa14e2054806231325dd291f9aa714af44a0495b677efc
menu.xml	080340cb4ced8a16cad2131dc2ac89e1516d0ebe5507d91b3e8fb341bfcfe7d8

YARA RULE

rule BABADEDA_Crypter

{

meta:

description = “Detects BABADEDA Crypter”

author = “Morphisec labs”

reference = “https://blog.morphisec.com/the-babadeda-crypter-targeting-crypto-nft–defi-communities”

strings:

$entry_shellcode = {55 8B EC 83 EC 58 53 E8 F8 03 00 00 89 45 FC 8B 45 FC 83 C0 11 89 45 CC 8B 45 FC 8B 40 09 8B 4D CC 8D 04}

$placeholder_1 = {8138DADEBABA}

$placeholder_2 = {8138AFBEADDE}

condition:

$entry_shellcode and all of ($placeholder_*)

}

DECOY DOMAINS

aave-v3[.]com
abracodabra[.]net
alchemixfi[.]com
apeswaps[.]net
app.sushi-v3[.]com
arbitrums[.]com
artblocks[.]us
astar-network[.]com
avalanche-network[.]com
avax-bridge[.]com
avax-bridge[.]net
avax-network[.]net
avax.wallet-bridge[.]net
avax.wallet-network[.]net
avax.wallet-network[.]org
babydogescoin[.]com
boredpeyachtclub[.]com
bridge-avax[.]com
bridge-avax[.]net
bridge-avax[.]us
c-nft[.]net
casper-network[.]com
compoundfinance[.]net
cryptoblade[.]net
decentralands[.]net
diviprojects[.]com
dydxexchange[.]net
galagamesapp[.]com
hedera[.]run
illuviums[.]com
keep-network[.]net
klimadao[.]net
larva-labs[.]net
larvaslab[.]com
looprings[.]net
luckybuddhaluckyclub[.]com
mangomarkets[.]net
mineofdalarnia[.]net
monstasinfinite[.]net
moonebeam[.]com
near-protocol[.]com
network-avax[.]net
network-avax[.]org
nft-opensee[.]com
olympusdao[.]fund
openseaio[.]net
openseea[.]net
optinism[.]net
polkadot-network[.]com
projectseeds[.]net
projectsserum[.]net
rareble[.]net
rocketspool[.]net
secretswaps[.]net
sia-tech[.]net
solanarts[.]com
solsoulnft[.]com
sushi-app[.]com
sushi-v3[.]com
sushi-v3app[.]com
terra-money[.]net
thetatokenfund[.]com
wallet-avalanche[.]com
wallet-avalanche[.]net
wallet-avalanche[.]org
wallet-avax[.]com
wallet-avax[.]info
wallet-avax[.]net
wallet-bridge[.]net
wallet-network[.]net
wallet-network[.]org
wa let.bridge-avax[.]us
wallet.network-avax[.]org
wonderlaned[.]com
zed-run[.]net

HASHES

0098b2c38a69132bfde02d329d6c1c6e2b529d32d7b775a2ac78a369c0d10853
0115ba0f26a7b7ca3748699f782538fa761f7be4845a9dc56a679acea7b76cd3
062f019515bff366fcbf49cca3f776c21e2beb81c043a45eea81044a9391fd97
112282b873bdbeb5614fc8658934a99d666ba06c4e2840a21cd4458b426a4cad
120213353ac7bd835086e081fb85dfa4959f11d20466fd05789ded3bff30bb11
1252c9103805e02324d2aecb5219e6a071c77b72477eba961621cb09a2138972
140d9a4a2ec5507edf7db37dcc58f2176a0e704e8f91c28a60a7f3773e85e1aa
14da3566bc9f211528c1824330c46789396447c83c3c830bb91490d873025df8
18c01e1f6e0185752dbf8c9352d74ade56ac40d25ae701d4a5954b74d0c7aeea
196ec622eb7d9420b1c04b3856467abeb3ca565d841f34c3c9a628afc10775c8
214d6681f5d82d4fa43e7a8676935ef01ddab8d0847eb3018530aedffe7ebb55
2e5455e268cf12ebc0213aa5dacb2239358c316dda3ec0f99d0f36074f41fb09
2fc8dedf82997894bb31a0eca96ae3c589863ec9bf4d1e2af0a84f2e9c3ef301
3270599801099d3b5399eb898f79d7b7ec0d728c71d5177244b8110757365ade
39b4dc69dd29011135732a881152f99dc19310cb906b7255a3e9ef367258094d
3c844e66f0dafdced0861a8e2ff54fd762ba170bf5082fb2c38cdbbac5a7fecb
3e52c251dc8683e0f374bcbea27b4b700c05dc39db13336859acbbd32590fe7c
3e6a29c04270a4b62375946fdb4c392a1c9b3f64ef391f85bdd67cb78426889f
44e00bef4b6d3f03a845208b925c129a5fe1b9ef6ed8cd27144c5e94176aaa6e
462f7543326630d209b6433936f0c54f8920d6b5505e88d802ee060320ea8106
4e6eed44594054ea42f9860c1e53744649a319788e2cb7f1f624e435cbdec43d
54391ff27b632a36430889dda51cfa46b694badcae2f0ce952065642c94d89df
6342d9c9e087945651b11cec4903f083a20d31182e0be5b2b6030df0a980ff68
65363debbbb9a691838e823c34807a9770db30c2af616c5574231af2b16d6aef
6e4d56a438062210ba8ca68dee690c1692960ff36936c96586f74ee194e1c821
6f247a74aa62fea0577da869fda841170ce6f1fe0e1b9f3b0d8172d336bb7dc6
71d0c5b5916cc5f91370f42fbfd249795e7c40526ae204becdd20fe453b53e8d
72df0397893e1ac981063fbcc0ad048543ba7143ba824f2bb0aa5dfb61538ce6
7c8242812137aad072fe1cb78d49d01187b869d43ebcfcd87eb590c1bc9f1246
7e827e1981d2ccaec16a5b646976b0d492d555a20b9ba5dd4ba0d605dfcab2f7
86b1cf4e6952db195842809ffd7e88e5fdaca8b2b2c0005e995d34cbe9d157ad
8b9120fc400510de52fb5c6689f403e5c0aaba3ff58e2ee114286c2cf09615b5
8ce8c448b5958da3c59874594de428b783116d8c1cf440ab804633799d88af8e
90faf9b85d96a09cb689be3a52669a58df2e9ea53b150a97d05de641e624f634
95d226710f37a870a338344afac6350b48c5d70c7ac8518c42f694eb0f6aa7c5
9b132e1d883c4f513d4ac3a5735a28a1917cfde837ee4a4b632a66cce5aa8be2
a2545370b390e52376d12776152aff9285b9b3fe6610d2f8dd24b11ccb14c5b3
a2e090192bf0b3b00f5bbef0b81858bc17861fedd82e93f0ab6d60777ca6820e
af0c213a2cfb62e6a9ce788c3860c627e035401b75df7f60eb64d4f4bc196aa2
b5fe6db30b741f515df94238c8d1a3c51a84fe72f218751c86a254801c3233ee
b6dc8341fd38dacb7a2a38a14a21afbab8e7e3f31f2fd29f0bcd7d4eb83e203c
bcaaab0cd2178acdf025c7f23f10ab01906a99aca5d07e3a7e261928f8f91695
c21e2be7324afb67f1e5cf9fbc95dc346db2ec62d9d8db7b0da9377a00346f41
c97893d936b5e1203fb926e7ab612ffd488578e9791f07be4a6eabc83645fb5b
ca70f7b046f5909f0134a1c465fda3794344f45055ba2dfa802623bd326fe5b6
d360daf106314561e9ec57075dd4f544ad52680678a644e186758650a405b765
d548c2e3479c6c7a20ffa8a8402aa00c45aaef24102daf5c94c54a8a6013f370
d76e7a14ab20d3f28de1ecef803d8b1629ed077495db5ec7b7f5828ed33c684e
de644e637da7cd117517b1bb96ee0f58131515013a322366d680f613afa31bc4
e5f55a5ecd7315c9e028738ced66d42852569dd061e15610a054c2121c9ed4d9
e99d32952bda84f32425681229ec544849156e479b7247e3e480f3a23a39c915
f24492ceab91f70c3dd3c5040184dae3bc38804c872ae948ed1ee6906a890b16
fb04bc486bf7b6574b5b7caf1ed4f1a21e9e7463adf312219f767a58e8fb2be1
fde7bd78e2085f364e0eb145c77b57b8bfa5bacf6a3e6eaed4b9e3a97c065a80
fde8ca7c729a25e723a3738a1b5520f29ef2100ba2d9a2739aa30176b039f511

CRYPTER HASHES

AMADEY STEALER

4d02224a7dadfc2d8a1343fdc51e4634a98bd073f867bfd091e667efd112108a
384292cad1c05552ccbd691de48865ce75375f7e601db66b3f5cad0f8f294d6c
5dd0e9ef811c199a06758d65b66d051d3b0057971b021df0928ede727fe17371
e312af68203fd80a2dd86a69460941ce29709424310abffd66fd7323a2b8ef6e

CRYPTBOT
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LOCKBIT
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URSNIF

04595c3111276f02b6dc2ece0778cb5829c086484aeafa24e0aac3d8479deb4b
e2c83783d6ab57ac91d99bfb9d607d0b5537e305661406bbf2347c3af92d3464
676a540a91b9ffb4a18af0f4355561f3579ee4cbbf0740a80e482af92e8cdc07
716ce7fe411f352686b4071074aa96e1456ab7a67445b3cf1c475e18a4e5ac25
ceba6a7f9a2c25a35090470c6209aefed808786c47194a18415a7898390c20cb
e203345d8120bd6d29e667bbceb92083ebb55e36b21cd22d669aa2f91830a656

SMOKELOADER

79ae89733257378139cf3bdce3a30802818ca1a12bb2343e0b9d0f51f8af1f10
1ae5c809ea8fabce9c699c87416d73ba5ab619accef6deeb26c2c38f39323181
ee8f0ff6b0ee6072a30d45c135228108d4c032807810006ec77f2bf72856e04a

FICKERSTEALER

bd8d1264a88d5cdd701a4ee909b70beaec39d216c988b33bfb30f25aee3540ee
1f53d6f4fb02c8663b9d377570953d07c56df297674b7c3847d1697f0e5f8165
cf88923b7d0287884870af999a8d64f90c7deeb4c4d09feed406472ff259b30d

METASPLOIT REVERSE HTTP

b8990f204ca595e23562aa8063fd163651771626ba4acf45890f25315616fc1e

QUASARRAT

e8a8581cd3594a3937762f90d20ab889e7868bb88e9249f96222bd48643d7dea

Fonte: Morphisec

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.