Stellar стиллер - дополнение

Ссылки

Прошлая часть: https://telegra.ph/Analiz-stillera-Stellar-ot-LookeRa-02-22

Мой телеграм: https://t.me/alexuiop1337

Телеграм канал: https://t.me/PredatorSoftwareChannel

Анализ

На момент выпуска прошлой части стиллер Stellar был уже обновлен. Огромным изменением стала нативность.

Открываем семпл в IDA и находим крайне привлекательным первое сообщение:

Отсюда делаем вывод про имя кодера и идем дальше...

После полного прогруза IDA видим стандартное приложение сделанное в Visual Studio:

В данном случае точка входа стиллера будет расположена здесь:

Дабл-клик и уже видим методы самого стиллера:

От старой версии логика не особо сильно отличается, создаются директории для работы стиллера:

И дальше начинается грабинг:

В грабере особо ничего не изменилось, кроме того, что софт теперь использует SQLITE библиотеку вместо SqlHandler от сорика, а также использует CryptUnprotectData вместо DPAPI (в целом, одно и то же).

По браузерам все так же, почти ничего не изменилось:

Добавилось несколько браузеров, но по факту это ничего не меняет.

С данными также ничего не поменялось:

Еще была добавлена фейк ошибка:

Заключение

В плане логики стиллер не сильно поменялся. Естественно, из-за перехода на плюсы пришлось использовать SQLITE, поэтому билд весит 700 кб, ведь SqlHandler сорика уже не поможет (или поможет?). Zlib также добавит много веса, вот и в сумме получилось так много.

По прежнему вывод остается такой же как и в прошлой части.