Quasar, Sobaken e Vermin: revelando detalhes da campanha de espionagem cibernética em andamento

Usando ferramentas de acesso remoto, Quasar, Sobaken e Vermin, os cibercriminosos monitoram as agências governamentais ucranianas e roubam dados de seus sistemas. Este cibergrupo foi mencionado pela primeira vez em um relatório em janeiro de 2018, atraiu a atenção da ESET em meados de 2017 e hoje continua a desenvolver seu software.

Neste relatório, revelamos os detalhes da campanha atual, fornecemos informações sobre malware e descrevemos os métodos que os invasores usam para espalhar, direcionar e evitar a detecção.

Perfil dos atacantes

Esse grupo parece não ter conhecimento técnico excepcional ou acesso a vulnerabilidades de dia zero. No entanto, ela aplicou com sucesso a engenharia social para espalhar o trabalho malvari e encoberto por um longo tempo.

Conseguimos acompanhar seu trabalho até outubro de 2015, mas é possível que o grupo tenha iniciado suas atividades muito antes.

Os invasores usam três modificações do .NET malvari: Quasar RAT (Ferramenta de administração remota), Sobaken (um derivado do RAT do Quasar) e RAT Vermin personalizado. As ferramentas foram usadas simultaneamente nos mesmos destinos, elas compartilham parcialmente a infraestrutura e se conectam aos mesmos servidores C&C. Uma possível explicação para o uso de três modificações paralelas é o fato de que elas foram desenvolvidas independentemente uma da outra.

As vítimas

Software malicioso é usado em ataques a agências governamentais ucranianas. De acordo com a telemetria da ESET, foram registradas centenas de vítimas em várias organizações e centenas de arquivos executáveis ​​relacionados a esta campanha.

Linha do tempo

A Figura 1 mostra os principais eventos da campanha em ordem cronológica.


Figura 1. Linha do tempo da campanha

Distribuição

De acordo com nossos dados de telemetria, os invasores usam o email como o principal canal de distribuição de três RATs. Eles usam a engenharia social para convencer as vítimas a baixar e executar o malware.

Na maioria dos casos, os nomes dos arquivos estão escritos em ucraniano e estão relacionados ao trabalho das vítimas. Aqui estão exemplos desses arquivos:

• "INSTRUÇÕES para a organização da proteção do serviço militar da Ucrânia e do membro da família" ("Ordem sobre a garantia da segurança do pessoal militar do exército ucraniano e membros de suas famílias")
• “Eu punirei o novo rascunho, a designação da revisão do Viluchennya” (“O novo rascunho da ordem de verificação da retirada”)
• "Colocar o OVK Zbіlshennya limitu" ("Divisão de compras Don HVAC. Aumentar o limite de crédito")

Além das técnicas básicas de engenharia social (chamando a atenção para o investimento), os atacantes usam três métodos técnicos. É provável que isso melhore ainda mais o desempenho da campanha.

Método 1 : os aplicativos de email usam o caractere de substituição da direita para a esquerda Unicode, que altera a direção na qual os caracteres são lidos, para ocultar a extensão verdadeira. Na verdade, esses são arquivos executáveis ​​usando os ícones Word, Excel, PowerPoint ou Acrobat Reader, para não causar suspeitas.

Um exemplo de nome de arquivo: como mostrado na Figura 2, “Movendo lenha sólida (lenha) para queima desprotegida _ <> xcod scr” (“Transportando lenha para aquecimento”) parecerá um arquivo .DOCX para usuários desatentos.


Figura 2. Um arquivo executável disfarçado como um documento do Word

Método 2 : Aplicativos de email mascarados como arquivos de extração automática RAR.

Exemplo: um e-mail com o aplicativo “Punishment_MOU_Dodatka_do_Instrucii_440_ost.rar” (“Ordem do Ministério da Defesa, Anexos à Instrução nº 440”), conforme mostrado na Figura 3. Dentro do arquivo RAR, há um arquivo executável chamado “Punishment_MOU_Dodatki_do_Instruciiii_440_ost_rar”.

Presumivelmente, as vítimas executam esse arquivo, aguardando a descompactação do conteúdo do arquivo de extração automática, mas, assim, involuntariamente, iniciam um arquivo executável malicioso.

Método # 3 : documento do Word + exploração CVE-2017-0199. Essa vulnerabilidade é aplicada quando a vítima abre um documento do Word especialmente criado. O processo do Word envia uma solicitação HTTP para um arquivo HTA que contém um script malicioso localizado em um servidor remoto. Em seguida, o script malicioso é iniciado pelo mshta.exe . As primeiras informações públicas sobre esta vulnerabilidade apareceram em abril de 2017 e a Microsoft a fechou, lançando uma atualização de segurança para todas as versões do Windows e do Office.

De acordo com a telemetria da ESET, esses invasores começaram a usar esse método em maio de 2017. Os invasores usaram hxxp: // chip-tuning lg [] ua / para entregar os arquivos HTA e a carga final.


Figura 3. Arquivo disfarçado como um arquivo RAR de extração automática. Os dados da versão e os direitos autorais sugerem que isso é falso

Instalação e Persistência

O procedimento de instalação é o mesmo para as três modificações dos malvari usados ​​por este grupo. O conta-gotas despeja os arquivos de carga útil (Vermin, Quasar ou Sobaken) na %APPDATA% , em uma subpasta com o nome da empresa legítima (geralmente Adobe, Intel ou Microsoft). Em seguida, como mostra a Figura 4, ele cria uma tarefa no planejador para executar o componente a cada 10 minutos para garantir persistência. Algumas versões também usam o método de usar a funcionalidade de atalho do Painel de Controle do Windows para tornar suas pastas inacessíveis no Windows Explorer. Essas pastas não abrirão quando clicadas no Windows Explorer; em vez disso, a página "Todas as tarefas" será aberta.


Figura 4. Uma tarefa que inicia um componente malicioso a cada 10 minutos

Exemplos:

C:\Users\Admin\AppData\Roaming\Microsoft\Proof\Settings.{ED7BA470-8E54-465E-825C- 99712043E01C}\TransactionBroker32.exe
C:\Users\Admin\AppData\Roaming\Adobe\SLStore\Setting.{ED7BA470-8E54-465E-825C- 99712043E01C}\AdobeSLService.exe

Segmentação

Os invasores usam muitos truques para que o malware funcione apenas nas máquinas de destino. Eles são especialmente cuidadosos para evitar sistemas de análise automatizados e caixas de areia.

Método # 1 : verificando o layout do teclado no Windows
Malvar verifica se o layout do teclado russo ou ucraniano está instalado. Caso contrário, seu trabalho para imediatamente.

Método 2 : Verificar endereço IP
Malvar obtém o endereço IP de um computador infectado através de uma solicitação a um serviço legítimo
Ipinfo.io/json. O trabalho será concluído se o endereço IP não for encontrado na Ucrânia ou na Rússia ou se estiver registrado em um dos vários provedores de serviços em nuvem ou desenvolvedores de software antivírus selecionados. O código que executa a verificação é mostrado nos resultados da desmontagem nas Figuras 5 e 6.


Figura 5. Código verificando a localização geográfica do endereço IP da máquina infectada


Figura 6. Código que corresponde ao endereço IP com uma lista de provedores de serviços em nuvem e fornecedores de antivírus

Método 3 : testando a emulação de rede
Os sistemas de análise automatizada geralmente usam ferramentas como o Fakenet-NG, onde a comunicação DNS / HTTP é bem-sucedida e produz qualquer resultado. Os autores da Malvari tentam identificar esses sistemas através da geração de um nome / URL aleatório do site e verificam se não há conexão com esse URL (na Figura 7), como seria em um sistema real.


Figura 7. Código gerando uma URL aleatória e iniciando o download

Método 4 : Verificando um nome de usuário específico
O malware não inicia em uma conta com um nome de usuário típico dos sistemas automatizados de análise de malware, conforme mostrado na Figura 8.


Figura 8. Reconciliação do nome de usuário atual com uma lista de sistemas de análise de malware conhecidos

Aplicação de esteganografia

Desde meados de 2017, os invasores usam esteganografia, ocultando componentes maliciosos em imagens nos sites de hospedagem gratuita saveshot.net e ibb.co.

A esteganografia é uma ciência que permite ocultar dados "à vista completa", dentro de outras informações não classificadas. No nosso caso, o arquivo EXE malicioso foi criptografado e oculto em um arquivo JPEG, como na Figura 9. Malvar baixa e decodifica o JPEG, extrai dados ocultos, descriptografa o arquivo EXE desses dados e o inicia.


Figura 9. Exemplo de imagem JPEG usada para ocultar o componente malicioso entregue (redimensionado e removido)

O processo de descriptografia é bastante complicado e pode ser descrito da seguinte maneira:

1. Baixando um arquivo JPEG de um URL codificado em um binário.

2. A força bruta de uma senha de oito dígitos, calculando seu hash e reconciliando-o com um hash codificado no arquivo binário baixado. Esta etapa usa a CPU intensivamente; leva mais de 10 minutos para ser concluída em um computador comum. Provavelmente, essa é outra medida para combater os sistemas automatizados de análise de malware.

3. Processando o arquivo JPEG e extraindo os dados ocultos nele, como pode ser visto no código desmontado nas Figuras 10 e 11. O algoritmo usado pelo malware é muito semelhante ao usado no JSteg, um dos algoritmos de esteganografia mais antigos e mais simples para arquivos JPEG. Ele oculta os dados em LSB (o bit menos significativo) dos coeficientes discretos de transformação de cosseno de um arquivo JPEG. Esses dados ocultos geralmente não afetam a imagem visível a olho nu, mas algoritmos especializados podem detectar facilmente sua presença. No entanto, esse algoritmo de esteganografia é muito fácil de implementar, o que provavelmente foi o motivo de sua escolha pelos autores dos malvari.

4. Extração e descompactação de dados usando o GZip.

5. Descriptografia dos dados descompactados no AES com a senha obtida na etapa No. 2.

6. Decodificação de dados decodificados de base64.

7. Gravando o arquivo EXE no disco e execução.

Como resultado, os autores desta ameaça abandonaram a idéia de usar esteganografia e começaram a usar hxxp: // chip-tuning lg [] ua para transferir arquivos executáveis ​​não criptografados.


Figura 10. Código esteganográfico dentro de um decodificador JPEG


Figura 11. Código esteganográfico dentro de um decodificador JPEG

Malvari Mods

Esses atacantes usam três modificações dos malvari em seus ataques. Abaixo, apresentamos uma breve visão geral de cada um e nos concentramos na descrição dos recursos característicos.

Quasar

Quasar é um RAT de código aberto disponível no GitHub. Vimos várias campanhas nas quais esse grupo cibernético usava arquivos binários Quasar RAT. A primeira campanha conhecida durou de outubro de 2015 a abril de 2016. O próximo foi realizado em fevereiro de 2017. Os artefatos de compilação mostram o caminho para o PDB n:\projects\Viral\baybak_files_only\QRClient\QuasarRAT-master\Library\obj\ Release\Library.pdb

Outra campanha com o Quasar RAT, usando os servidores de comando desses atacantes (mailukr.net), foi implementada em julho - setembro de 2017. Os atacantes usaram uma versão antiga do Quasar RAT chamada "xRAT 2.0 RELEASE3". Os artefatos do compilador no conta-gotas mostram o caminho para o PDB N:\shtorm\WinRARArchive\ obj\Release\WinRAR.pdb

Sobaken

Sobaken é uma versão significativamente modificada do Quasar RAT. Se você comparar a estrutura dos programas Quasar e Sobaken, poderá observar muito em comum - veja a Figura 12.

Os autores do Sobaken reduziram a funcionalidade do malware, tornando o arquivo executável menor e mais fácil de ocultar. Eles também adicionaram truques para contornar a sandbox e outras descritas acima.


Figura 12. Evolução sobaken. Left Quasar RAT v1.3, no meio e na direita - duas versões do Sobaken

Vermin

O Vermin é um backdoor personalizado que somente esse grupo cibernético usa. Pela primeira vez, o malware foi documentado no relatório de janeiro de 2018 da Palo Alto Networks . O backdoor apareceu em meados de 2016 e ainda está em uso. Como o Quasar com Sobaken, ele é escrito em .NET. Para dificultar a análise, o código é protegido usando o sistema comercial de proteção de código do .NET Reactor ou o protetor de código aberto ConfuserEx.

Além disso, como Sobaken, ele usa o Vitevic Assembly Embedder, software gratuito para incorporar as DLLs necessárias no arquivo executável principal, disponível no Visual Studio Marketplace.

Funcional

O Vermin é um backdoor completo com vários componentes opcionais. A versão mais recente conhecida no momento da escrita (Vermin 2.0) suporta os seguintes comandos, cuja essência pode ser entendida pelos nomes:
- StartCaptureScreen
- StopCaptureScreen
- ReadDirectory
- UploadFile
- DownloadFile
- CancelUploadFile
- CancelDownloadFile
- GetMonitors
- DeleteFiles
- ShellExec
- getprocesses
- KillProcess
- CheckIfProcessIsRunning
- CheckIfTaskIsRunning
- RunKeyLogger
- CreateFolder
- Renomear pasta
- DeleteFolder
- UpdateBot
- RenameFile
- ArchiveAndSplit
- StartAudioCapture
- StopAudioCapture
- SetMicVolume

A maioria dos comandos é implementada na carga útil principal. Apenas alguns comandos e funções adicionais - por meio de componentes opcionais carregados por atacantes na máquina da vítima. Entre os componentes opcionais:
- gravação de áudio
- keylogger
- Roubo de senha
- Roubo de um arquivo do USB (ladrão de arquivos USB)

Ferramenta de gravação de áudio (AudioManager)

Um componente Vermin de pleno direito que pode gravar som do microfone do computador da vítima. Ele aceita três comandos Vermin: StartAudioCapture, StopAudioCapture e SetMicVolume. Os dados recebidos são compactados usando codecs Speex e carregados no formato SOAP nos servidores Vermin C&C.

Keylogger (KeyboardHookLib)

O Keylogger no Vermin é um simples arquivo executável separado que intercepta todas as teclas digitadas e as grava no arquivo em formato criptografado. Ele também grava o conteúdo do buffer e os nomes das janelas ativas. O próprio keylogger não pode se comunicar com os servidores Vermin C&C; O backdoor principal é usado para transmitir as informações coletadas.

O caminho para o PDB no keylogger confirma a conexão com o malware Vermin:
Z:\Projects\Vermin\KeyboardHookLib\obj\Release\AdobePrintLib.pdb

Ferramenta de roubo de senha (PwdFetcher)

Um componente separado de roubo de senha da Vermin é usado para extrair senhas salvas dos navegadores (Chrome, Opera). A parte principal do código parece ter sido copiada de um artigo da Habr . Algumas amostras também contêm código para extrair informações do navegador Firefox, mas elas não parecem ser usadas. Como mostra a Figura 13, esse componente também contém caminhos PDB semelhantes ao componente keylogger, que confirma a conexão com o Vermin.


Figura 13. Artefatos de compilação que permitem associar um componente de roubo de senha ao Vermin

Ferramenta de roubo de arquivo USB (UsbGuard)

UsbGuard.exe é um componente opcional usado por Sobaken e Vermin. Este é um pequeno programa separado que monitora as unidades USB conectadas ao computador e copia todos os arquivos que correspondem ao filtro configurado pelos atacantes. Os arquivos roubados são transferidos usando o módulo principal do backdoor. Muitos caminhos diferentes para o PDB foram encontrados na amostra desse componente, que o liga claramente ao Vermin.

Desde abril de 2018, o componente de roubo de arquivos é usado como uma ferramenta separada. Ele copia os arquivos e os envia imediatamente para um servidor controlado pelo invasor.

Nas amostras analisadas, os atacantes procuraram arquivos com as seguintes extensões:
- doc
- docx
- xls
- xlsx
- zip
- rar
- 7z
- docm
- txt
- rtf
- xlsm
- pdf
- jpg
- jpeg
- tif
- odt
- ods

Conclusão

Entre os muitos ataques com o uso de malware voltado para alvos de alto escalão na Ucrânia, esta campanha não recebeu muita atenção. Talvez isso se deva ao uso de código de fontes abertas. No entanto, o grupo já passou a desenvolver suas próprias ferramentas.

O uso de várias famílias de mecanismos de malware e infecção, incluindo engenharia social e esteganografia, nos últimos três anos pode ser devido ao fato de os invasores experimentarem métodos ou trabalharem em vários grupos.

A aplicação bem-sucedida de técnicas triviais (por exemplo, o envio de RAR e EXE por email) enfatiza a importância da proteção contra o fator humano.

Indicadores de compromisso (IoC)

Servidores C e C

Sobaken C&C

akamaicdn.ru
akamainet021.info
cdnakamai.ru
windowsupdate.kiev.ua
akamainet022.info
akamainet066.info
akamainet067.info
notifymail.ru
mailukr.net
188.227.16.73
212.116.121.46
206.54.179.160

Quasar C&C

188.227.75.189
mailukr.net
cdnakamai.ru
notifymail.ru

Vermin C&C

185.158.153.222
188.227.17.68
195.78.105.23
tech-adobe.dyndns.biz
notifymail.ru
akamainet023.info
mailukr.net
185.125.46.24
akamainet024.info
206.54.179.196

Transferência de componentes, exfiltração de dados

chip-tuning.lg.ua
www.chip-tuning.lg.ua
olx.website
news24ua.info
rst.website
1ua.eu
novaposhta.website

SHA1

Vermin

028EBDBEBAC7239B41A1F4CE8D2CC61B1E09983B
07E1AF6D3F7B42D2E26DF12A217DEBACEDB8B1B9
09457ACB28C754AA419AB6A7E8B1940201EF3FFE
0EEE92EC2723ED9623F84082DAD962778F4CF776
10128AB8770FBDECD81B8894208A760A3C266D78
131F99A2E18A358B60F09FD61EE312E74B02C07C
14F69C7BFAF1DF16E755CCF754017089238B0E7B
1509F85DE302BE83A47D5AFAD9BEE2542BA317FC
170CEE6523B6620124F52201D943D7D9CA7B95E5
191159F855A0E580290871C945245E3597A5F25C
1F12C32A41D82E978DE333CD4E93FDAA1396BE94
22B17966B597568DB46B94B253CD37CBCF561321
2C7332D8247376842BD1B1BD5298844307649C99
2E08BA5DF30C0718C1733A7836B5F4D98D84905E
2EDF808F8252A4CBCB92F47A0AEDC1AAAE79A777
360F54B33AC960EE29CA0557A28F6BB8417EF409
431FCE6A47D0A48A57F699AA084C9FF175A9D15F
45438834FDC5C690DA3BC1F60722BE86B871280D
4A8A8188E3A7A137651B24780DF37CB6F610CC19
4C1E4E136B7922F9E28D1B38E9760E28929E4F0B
5B6EA57FFC09593C3B65D903368EA5F7FAA2EB68
61D366939FE36861B2FECB38A4DFF6D86C925A00
6A72366D8AE09F72F0466FB59E8ED372F8B460D7
6FECA622B0FB282064F7DE42BA472A8EC908D0D6
70A772485C5ED330C6876FA901BA722CD44CA05E
70D97367A3DBD5D45482B6AF8C78C58B64D3F3B3
7803FD9753930522705F2B6B4E73622887892C28
7B11A84B18DC4B5F1F2826E7925F0B2DC1B936AE
889FD0BEB3197DDD6C88F5C40D6B8E4D74A892CE
9B6FBABFA2A77FA633F7A2EB352979D5C68CEBC6
A451291F17489E3A59F440A1B693D691B053C531
A53D77E55A06CF131D670339BACEC5AC0F0C6D66
A925D0AFB5D4F5FAC65543C993BE4172F1DBF329
B5F81C804E47B76C74C38DF03A5CBE8A4FE69A9A
B99DE55043099E9506B304660B8E1374787AB195
C00C104FC3E9F5977D11C67EF0C8C671D4DFC412
CA0296FA9F48E83EA3F26988401B3F4C4E655F7A
D4C6540E789BD3839D65E7EDA5CCA8832493649E
D5EDE1BBB9A12757E24BE283AFC8D746ADC4A0D4
DEFBFD98C74BEFF839EEB189F0F6C385AD6BA19B
ECF152EB6417A069573F2C7D9A35B9CC31EC8F56
EE2D40825C77C8DFEF67999F0C521919E6672A10
EF09AC6BA08A116F2C4080CBEE8CEF9523E21265
F414C49CF502D1B6CC46E08F3AC97D7846B30732

Sobaken

087F77998004207BCCFFBF3030B6789648930FA5
0A4A2BCB3EF4E19973D5C4BE4E141B665CC0BFE0
1CEEF0813C0F096E6DA5461DC4B3BF901C500C56
293DBFF0230DAB3C4C21428F90C8EF06E9F35608
37E2947BFB5FC0839087C5BCE194EC193F824C85
39525CBCA591F2A10946BA62A56E4C3382CD4FC0
3CE0A18E9A8A2B95827008DBFF16364B6FEDF361
3E869038080DAE006FF6B20DF9B0CD9CB3A5E1A1
400830AB6DD46789B00D081ADF0F82623472FB13
43F382A330A454FF83F4F35FB571ECF587A4694A
4449FBE2B28A81B760B284880ADBED43462C2030
4712AF28168FD728A13EFD520E0665FFD076B6FB
4F504D7B35660943B206D6034752C686365EA58D
53239A62E09BB0B4E49B7954D533258FEF3342C4
540292753FA0CC4ACB49E5F11FEDEA4B7DEF11D8
5589E8018DC7F934A8FDAB62670C9140AF31CAB6
57BBA7D8786D3B0C5F93BC20AB505DF3F69C72D4
630FE59D60F6882A0B9E35ED606BF06AD4BA048C
63EA7C844D86882F491812813AAAD746738A6BE9
64121FA2FD2E38AC85A911A9F7ADD8CA1E1A9820
64DBA711FDD52FECF534CAC0C6FE8848FE36F196
650AB5E674FEF431EBC8CF98141506DDC80C5E64
6EF13E9D5B0B6FCB5EB2A7439AAD7B21EA7FB7AC
7177F64362A504F3DF8AA815CEF7136D5A819C04
9B91EC03A09C4CF6DBEC637B3551BDCA11F04A9B
A26764AFB1DAC34CAA2123F7BF3543D385147024
A55319D3DBD7B9A587F5156CF201C327C803FBC9
A841FF1EE379269F00261337A043448D3D72E6FD
AAB5BAAAE8A2577E1036769F0D349F553E4D129B
ACB989B3401780999474C5B1D7F9198ECA11549A
B65372E41E7761A68AEF87001BBB698D8D8D5EC6
BDB5E0B6CA0AA03E0BECA23B46A8420473091DFF
C4421084C19423D311A94D7BB6CB0169C44CBECD
C7E76993BB419DC755BD0C04255AB88E6C77B294
CF5238C467EBE2704528EED18AB4259BFDC604E3
D2334E161A1720E2DF048E4366150729B9395144
D35FB6E031720876482E728A40532703EF02A305
D82DF2903AA4BC5FD4274B5D1BFAF9E081771628
E4B3CBCA9A53B7B93177A270C2A76F981D157C34
E585AA2C5BFB9D42D2E58DB3833330D056713B9A
F4A485696FC871307C22906701CBBB3FA522499B
F5C75450108440D0BC9E7B210F072EF25A196D20

Quasar

0A4915B81D9A9ACF4E19181DEEEBBE244430C16B
323160C88A254127D9ADB2848AE044AFFF376A4D
395166835495B418773C9690227779D592F94F71
3EE410DD50FC64F39DFF0C4EE8CC676F0F7D5A74
5B665152F6596D4412267F9C490878455BA235F9
5FE8558EB8A3C244BE2DA8BE750221B9A9EE8539
61CB5E535F0AC90A1F904EC9937298F50E2B4974
6A1CD05F07B1024287CEA400237E1EA9D2FE1678
7676AFF05A3550E5BBFF78CF4D10C9E094447D72
86165F464EC1912A43445D80559D65C165E2CF76
AB3CD05BE6B0BA8567B84D10EDE28ABF87E115AC
BFD7158E1C2F6BA525E24F85ED8CCF8EF40FD370
CFEBEFC92DCDF1687FD0BC1B50457EBDEA8672A2
D21B8514990B0CEAC5EAE687DEAA60B447139B9D

Esteganografia

04DA3E81684E4963ABEC4C0F6D56DF9F00D2EF26
3C618A0C4BF4D3D24C9F2A84D191FC296ED22FA4
746155881D5AB2635566399ACC89E43F6F3DA91A
CADBC40A4EFB10F4E9BD8F4EC3742FA8C37F4231
E22CE72406B14EF32A469569FBE77839B56F2D69

Arquivos hta

39F5B17471FD839CC6108266826A4AD8F6ECD6A3
751FBD034D63A5E0A3CA64F55045AE24E575384A
76433D1D13DF60EC0461ED6D8007A95C7A163FF9
89DF6A7551B00969E22DC1CAE7147447ACA10988
D6D148050F03F5B14681A1BBF457572B9401B664

Ferramenta de gravação de áudio

1F49946CA2CE51DC51615000BAA63F6C5A9961F1
98F62C2E6045D5A15D33C8383ADACF9232E5FBE3
E7C4A69EBD7B41A6AF914DD3D3F64E1AA1ABE9B4
F233A0F2997BB554D4F1A4B7AC77DAE4180850FA

Keylogger

21921864D2F1AB2761C36031A2E1D2C00C9B304A
3C2D0615BEF6F88FED6E308D4F45B6133080C74F
91E8346910E0E6783ACFC4F2B9A745C81BD7573A

Ferramenta de roubo de senha

2A5C9D4DAE5E53B2962FBE2B7FA8798A127BC9A6
9B1586766AF9885EF960F05F8606D1230B36AC15
A2F0D5AF81D93752CFF1CF1E8BB9E6CAEE6D1B5E
CE18467B33161E39C36FC6C5B52F68D49ABCFC2A

Ferramenta de roubo de arquivos USB

050EB7D20EE8EF1E1DAEE2F421E5BF648FB645DF
069A919B3BC8070BB2D71D3E1AD9F7642D8ECF0F
0D265E0BDA9DF83815759ABCA64938EC0FF65733
0D7DF910D0FB7B100F084BFB8DFA0A9F2371171A
2FF3F5DA2960BE95E50B751680F450896AD1ED67
3200ECC7503F184F72AB9DA1DC3E1F8D43DDFD48
46D256EF277328E803D2B15CA7C188267059949D
524EE1B7269D02F725E55254A015200BB472463A
53A0EFD3D448DA8E32CFDDA5848312D3CF802B06
6FC150A9CAFA75813E7473C687935E7E4A5DCE24
70559245303F99630A27CB47B328C20C9666F0BB
7D8044A5CBEFE3B016F2132A5750C30BB647E599
8FD919D531A7A80615517E1AC13C2D0F050AF20D
9D22421DA9696B535C708178C72323F64D31FC80
BFD2DFA3D6AF31DF4B9CC2F6B31B239ADF1CECA1
C08A6222B59A187F3CF27A7BAE4CACFACC97DDEE
C2F6A65E14605828880927B9BA3C386507BD8161
C562006D2FA53B15052A4B80C94B86355CCA7427
CB43058D9EBB517832DF7058641AEDF6B303E736
CC8A9C28E884FDA0E1B3F6CEAB12805FEA17D3C1
D3CC27CA772E30C6260C5A3B6309D27F08A295CD
E7A2DE3776BA7D939711E620C7D6AB25946C9881
EE6EFA7A6A85A1B2FA6351787A1612F060086320
EF0ABB3A0CD1E65B33C0F109DD18F156FC0F0CDE
F63BE193C8A0FBB430F3B88CC8194D755BAD9CD1

Detecção ESET

A maioria dos arquivos foi reconhecida automaticamente pela ESET com base no princípio de similaridade de malware. As descobertas estão diretamente relacionadas à maioria dos arquivos da campanha:
MSIL/Agent AWB
MSIL/Agent AZG
MSIL/Agent AZJ
MSIL/Agent AZX
MSIL/Agent BCH
MSIL/Agent BCV
MSIL/Agent BCY
MSIL/Agent BFT
MSIL/Agent BGB
MSIL/Agent BGC
MSIL/Agent BGE
MSIL/Agent BGM
MSIL/Agent BJU
MSIL/Agent SCM
MSIL/Spy Agent BBB
MSIL/Spy Agent BIF
MSIL/TrojanDownloader Agent DYV
MSIL/TrojanDownloader Small BBM
MSIL/TrojanDropper Agent DBE
MSIL/TrojanDropper Agent DJQ
MSIL/TrojanDropper Agent DJR