Pycerine trójai

CH azonosító

CH-13425

Angol cím

Pycerine

Felfedezés dátuma

2016.07.11.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft
Windows

Összefoglaló

A Pycerine trójai káros kód vált ismertté, amely elsősorban a felhasználóneveket, jelszavakat és egyéb bizalmas adatokat képes kiszivárogtatni. Ehhez többféle módszert is alkalmaz:

  • böngészőkből, de még a Steamből is kigyűjti a hitelesítő adatokat
  • emellett képernyőképeket készít
  • telepített programokhoz tartozó termékkulcsokat gyűjt össze.

A megszerzett adatokat e-mailben szivárogtatja ki terjesztői számára, a levélbe pedig további rendszerinformációkat is beilleszt.

Leírás

A Pycerine érdekessége, hogy amint elküldi az értékes adatokat és fájlokat e-mailben, elkezdi eltüntetni a nyomait. Ennek keretében eltávolítja a saját állományait, amivel az utólagos vizsgálatokat tudja megnehezíteni. A Pycerine működéséhez arra is szükség van, hogy a számítógépre telepítve legyen a .Net keretrendszer.

A Pycerine tematikája:

1. Létrehozza a következő állományokat:
%UserName%AppDataRoamingCyperine
%SystemDrive%[…]-PC
%Temp%Chromepass.exe
%Temp%Chromepass.txt
%Temp%ProduKey.exe
%Temp%ProduKey.txt
%UserProfile%AppDataRoaming[…]-PC.zip

2. Ellenőrzi az internetkapcsolat állapotát

3. Az alábbi alkalmazásokból kiexportálja a lementett hitelesítő adatokat:
Chrome
Firefox
Steam
Sentry MBA

4. Képernyőképeket készít.

5. Termékkulcsokat gyűjt össze.

6. Az összegyűjtött adatokat lementi az alábbi neveken:
screenshot.png
Chrome.txt
ProduKey.txt
Chromepass.txt
[…]-PC.zip

7. A saját könyvtárába átmásolja a következő állományokat:
history[…].ini
key3.db
login.json
loginusers.vdf
signons3.txt
signons2.txt
signons.txt
signons.sqlite
signons2.sqlite
signons3.sqlite
ssfn*

8. A megszerzett állományokat elküldi egy előre meghatározott e-mail címre, a levélben pedig egyéb rendszerinformációkat is közöl a csalókkal.

9. További fájlokat tölt le FTP-n keresztül

10. Eltávolítja a saját állományait.

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »