Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
View Regular
Александр Долгавин Profile picture
Александр Долгавин
@alexdolgavin
Специалист по кибербезопасности, аудитор, бывший разработчик. Ph.D. в CS в США. Пишу про безопасность, английский и свои мысли. Помогаю айтишникам и не только.

Nov 14, 2024, 14 tweets

Спросите меня где я был на этой неделе? Охотился за скамером, который устанавливал трояны на компьютер людей. Поймал его и сдал в кибер полицию. 🧵

Щас расскажу всю историю

Началось всё с того, что мне мне и моим знакомым написали в телегу с просьбой помочь с проектом.

Чтобы понять как проект работает, разработчик должен запустить его на компьютере.

Обычный проект, с инструкциями как поставить.

Скамер не учёл то, что моя паранойа не позволяет устанавливать софт на личный компьютер. Поэтому запускал я это на виртуалке, отрезав её от интернета.

Угадайте что я сразу обнаружил?:)

Вот такой интересный спрятанный и обфусцированный файл, который пытался что-то скачать на компьютер, ему не удавалось, и именно так я его обнаружил.

Что же там внутри? А внутри там stealer☠️ (от англ. красть). Самые нтересные кусочки кода я оставлю тут.

Кто немного знаком с программированием, сразу увидит что файл пытается

1. Украсть деньги с криптокошельков
2. Забрать логины и пароли с компьютеров
3. Установить бэкдор.

Но это ещё не все! Я достал файлы с сервера скамера, которые софт пытался дополнительно установить.

Данные были закодированы в сотни слоев... Хакер который это писал за деньги, явно знал что он делает - он пытался обойти антивирусы - очень успешно кстати.

Takeaway: антивирус не защищает вас на 100%

Кроличья нора этого трояна была глубока:

Он устанавливает скрытый сервис, который контролирует движения вашей мышки и собирает данные с клавиатуры.

Что это вообще всё означет?

Это означает, что как только вы поставили ЭТО на компьютер, вы можете попрощаться со всеми паролями, приватностью и деньгами на ваших крипто кошельках.

Ваши пароли продадут, ваши деньги украдут и возможно начнут шантажировать.

Я выяснил где скамер хостил свои файлы через IP адрес, который я откопал в файлах (они всегда оставляют следы).

Составил отчёт, собрал доказательства чтобы упростить работу полиции и отправил. Дальше дело за ними.

Честно, я мог бы забить. Зачем мне всё это надо?

Ответ простой: я видел слёзы людей у которых крали деньги, видел через что они проходили, попадаясь на чей-то скам. Скамеры очень жестоки, у них (в отличие от хакеров) нет ни чести, ни достоинства.

@usestate спасибо за помощь!

Share this Scrolly Tale with your friends.

A Scrolly Tale is a new way to read Twitter threads with a more visually immersive experience.
Discover more beautiful Scrolly Tales like this.

Keep scrolling