kmlcryptosec Profile picture
May 10 27 tweets 18 min read Twitter logo Read on Twitter
Y si os digo que hay una #Blockchain cuyo objetivo es robarte y espiarte a ti como usuario. Es decir, en si es un #Malware encubierto. O al menos la billetera principal del proyecto lo es. La blockchain es #ceilingcatcoin Adelante HILO.
Esta historia comienza con varios usuarios afectados que me contactaron por Redes, indicando que les han #robado todos sus fondos #crypto en diferentes blockchain y diferentes billeteras (Claves privadas), yo no me lo creía hasta que lo comprobé.
Todos tenían una cosa en común, habían invertido en un nuevo proyecto nuevo, que se llama #ceilingcatcoin. Como buen analista, con buen pensamiento lateral empiezo por lo que han hecho en común.
Este nuevo proyecto aparece anunciado en @bitcointalk bitcointalk.org/index.php?topi… Curiosamente nadie, dice que le han robado...
Tras hablar con ellos todos habían instalado la billetera oficial de la "Blockchain" ceilingcatcoin Image
Como ya había evidencias empiezo a aplicar ingeniería inversa al exe, aunque el codigo de @github no parece malicioso, el binario como veremos mas adelante si lo es. #Malware #Reverseengineering #Blockchain #hacked github.com/Ceiling-Catz/c… @ESET_ES @SophosIberia @TrendMicroES Image
Quizás aqui os perdáis un poco pero intentare ser lo mas claro posible e ir al grano.
Lo primero que hago es un analisis estático del codigo de la billetera, lo primero que observo es que intenta conectarse por red TOR ¿Para que queremos red TOR? ¿Me auto justifico, será por privacidad y anti censura no? Ok, Lo paso por alto, puede ser algo normal. Image
Seguimos haciendo analisis, me encuentro con algo que no me empieza a molar, lleva técnicas #antidebug, y #AntiVM básicamente son técnicas que se usan en desarrollo de malware para evitar ser detectado su comportamiento malicioso en maquinas virtuales o sandbox. ImageImage
Como se ve en las fotos anteriores el Malware, busca procesos correspondientes a "Hacking & Analisis de codigo" y con el fin de evadir entornos de prueba virtualizados ya sea VirtualBox o VMware. Image
Para continuar la investigación y al usar maquina virtual, parcheo este codigo para poder saltarme esta restricción y que asi el #Malware se comporte tal como es. La verdad que no me complico solo parcheo las referencias de Texto para evadir la protección. Image
Tras parchear el codigo, dejo a la wallet correr, al principio no ocurre nada, pero al tiempo tras X tiempo de ejecución (donde X es Aleatorio entre 10 y + de 40 minutos) la billetera empieza a acceder a todos los archivos del disco y que no debería tocar... ImageImage
Asi mismo el analisis de trafico que voy haciendo en paralelo me muestra un comportamiento Raro, ¿Una billetera para que se conecta a un servidor web? ¿Quizás una nueva versión?
Se quiere conectar al sitio web "seed. addnode .xyz" PD: No entréis en el sitio web.... ImageImage
Tras la resolución DNS la billetera inicia una comunicación con el puerto 80 TCP usando el protocolo HTTP (Si tus wallets van a ir en texto plano) ya lo veréis... Y curiosamente en esa comunicación va un listado de todo mi disco duro C:... en el body de una petición HTTP POST ImageImage
La parte del codigo que se encarga de eso es esta: Solo colocare las referencias de texto, para no perder al lector. ImageImage
Revisando el #Malware veo que los servidores de C&C (Comando y Control) se encuentran en:
Nombre: kyiv. medvideos. cloud
Address: 95.214.234.37

Nombre: seed. addnode. xyz
Address: 45.61.137.253
Tras la noche que les di, han cambiado la IP ahora es: 95.214.234.217
Bueno tenemos el malware, sabemos que filtra nuestros datos ¿Ahora que? Empezamos a darle caña al servidor de C&C (Poneros las botas) empezamos analizando las rutas web que tienen expuestas buscando Apps vulnerables... para ello tiro del archiconocido gobuster.
Con el señor gobuster, descubro unas rutas muy importantes e interesantes, pues resulta, que el servidor web esta mal configurado exponiendo todo en /files /uploads y /logs. ImageImage
Tras alguien dar con esos directorios automáticamente alguien empezó a revisarlos vio que tienen contenido sensible de los usuarios y recopilo evidencias del delito. ImageImageImageImage
Lo primero que veo es que capturan el teclado para sacar contraseñas de las billeteras, CEX, etc...Y las guardan en MySQL en texto plano...Además saben el saldo de la billetera si la desbloqueas ¿Cómo lo hacen? mas adelante lo sabrás. Image
¿Por qué recorren el disco duro? ¿Qué buscan, fácil lo que buscan tus frase semilla en texto plano y tus ficheros wallet.dat... ImageImage
A parte de copiar tu disco duro, tus claves en texto plano y capturar tus pulsaciones del teclado ¿Te parece poco? Pues aqui te explico como te roban el 2FA. Tu segundo factor de autenticación.
@BinanceES @kucoincom @cz_binance ImageImageImageImage
Que usar keeppass o algo parecido para guardar tus frases semilla, claves privas o similar, te observan y cuando lo desbloquees te sacan foto. ImageImage
Se me olvidaba,....tambien recorren el registro de Windows buscando contraseñas guardadas....en navegadores, programas, carpetas de red...etc... Image
Ayuda para difundir porfa.
@SergioF56926315 @CryptoBorH @cryptospainOf
@WatcherGuru check this

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with kmlcryptosec

kmlcryptosec Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(