3 min de leitura ·

Como eu crie um malware que rouba todos os dados do navegador com python e nodejs

SpyWare

Apresentação

Oi, pode me chamar de dudu, tenho 16 anos e programo des dos 14. Recentemente eu crie um malware, to vindo aqui compartilhar o funcionamente (teorico) e o que eu aprendi com isso.

Introdução ao malware

O spy-child , pse foi ass q eu o apilidei ele desculpe, é um spyware feito em python e compilado para um executavel. como qualquer spyware o que ele faz é coletar dados da vitima, o seu objetivo principal é a coleta de dados de navegadores, são eles chrome,edge e fireFox.

ele sequestra cookies e senhas salvas localmente pelo navegador e manda direto para uma api externa a qual esta sob total posse do atacante.

Funcionamente

Como ele faz isso ?

Para responder essa pergunta primeiro precisamos entender como que suas informações sao salvas, os tres armazenam seus dados localmente em um arquivo, No caso do chrome C:\Users\dudu\AppData\Local\Google\Chrome\User Data\Default\Network\cookies. ele usa sql para interagir com esses dados.

Ele coleta esses dados, cria um arquivo e armazena os cookies, ele utiliza o sqlLite3 do python para poder interagir com esse arquivo, e recolhe informações do cookie como dominio, nome, o valor e etc... No entanto o chrome n ia deixar uma infomação sensivel assim sem proteção, o valor do cookie vem criptografado, porem a hash pode ser quebrada, a chave da hash pode ser encontrada utilizando base64 e uma biblioteca chamda win32crypt, não vou me aprofundar, para saber mais clique aqui (vale ressaltar que o malware foi feito aparti desse blog).

E é dessa forma q ele extrai os cookies. Para os logins salvos é a mesma coisa, apenas o caminho que muda, o mesmo vale para o edge. o firefox se quer nem criptografa os valores, ja os logins ele utliza um criptografia deferente, bem melhor, porem ainda sim quebravel, segue o link https://github.com/unode/firefox_decrypt.

por fim apos coletar tudo, ele recolhe informações do sistema e tira um print da tela, todas essas informações são enviadas para api, onde vai acontecer o "pos processamento" dos dados , a api vai passar os cookies(json) para netScape e salva-los, deixa os logins em um formato mais legivel, converte a imagem(base64) para uma png valida novamente e pronto ai esta um malware q um adolescente fez q pode te dar uma dor de cabeça a mais.

Backdoor

Quem seria burro de clicar em um executavel q pesa 20mb e que o windows defender ta dizendo que é um tronjan. Se voçe pensou isso, parabens, voçe tem razão, e eu respondo te respondo : niguem.

Por esse motivo que eu integrei com um backoor "uma porta dos fundos", o mais sensato seria criar algo leve q faça donwload do spyware e o execute, te aprensento o vbs(Visual Basic Script), seguindo essa linha de raciocinio eu compactei uma imagem comun com o script vbs(o qual faz o donwload e executa) criando um sfx, isso me retornou um executavel q abre a imagem e executa o script, so isso ja funcionaria, mas perai... .exe ? uma forma de burlar isso seria mudando o formato para .scr, e voa la, funcionando, no entanto o windows deffender ta identificando ele como um trojan, sendo assim, vc muda o formato novamente para .png(n funciona se abrir dando dois cliques, porem pelo cmd sim) logo, criamos um atalho do png, e fazemos com q o atalho execute o png pelo cmd, mudamos o icone do atalho para o icone padrão de fotos, deixamos a imagem oculta, compactamos tudo, e pronto vc tem um aquivo .rar de 200kb q contem um atalho e uma foto oculta.

Nesse momento voçe manda para a sua professora, ela descompacta, e entt ela aperta no atalho e aparece uma foto de uma atividade que ela mandou voçe fazer, olha que fofo, ao mesmo tempo loga na sua host um ip e um nome de usuario do windows, voçe rouba as credencas dela do painel de notas e nunca mais tira abaixo de 9.

Adicionais

Alem de um spyware, tambem pode ser adiconado a esse projeto outros malwares como um ransoware, um shell reverso entre tantos outros.

Esse malware foi feito para windows, é possivel e bastante provavel que possa ser feito uma versão linux.

Esse post tem fins educativos. tem como publico alvo estudantes e intusiastas do assunto, não me responsabilizo nem pela meu cafe da manhã diria com o q vc vai fazer com esse conhecimento.

qualquer coisa me chama no discord.

devaleatoriocurioso

12 dias atrás

pse ne ? queria entender o pq das pessoas tarem dando "deslike"

Ninguem gosta Script Kiddie, além de ser bobo, é cringe

Sem contar que tem maneiras muito mais faceis de roubo de sessão do que fazer esse trabalho todo aí

Esse malware foi feito para windows, é possivel e bastante provavel que possa ser feito uma versão linux.

Ninguem vai acessar o Root do Linux para abrir uma foto, ou dar permissão com CHMOD para leitura e escrita de um .PNG, geralmente usuários Linux estão bem acima da média pra isso, sem contar que o "diretório Linux" não segue um padrão tao comum assim de pastas como é o Windows, muitos usuarios utilizam Flatpak/Snap que simulam um ambiente isolado de WorkScape, justamente para não acontecerem de gente troll mandar um Kid Script para ser executado igual você faz

Silva97

12 dias atrás

Calma calabreso, tu tá tentando lacrar para cima de um iniciante que começou só há 2 anos. Além disso ele tem 16 anos...

Com esse projeto ele aprendeu como os navegadores armazenam cookies e credenciais no auto-complete. É uma coisa positiva e não vejo motivos para ofender alguém que fez um projeto que lhe permitiu aprender como alguma coisa funciona.

Ninguem gosta Script Kiddie, além de ser bobo, é cringe

Isso não é ser script kid. Sugiro não usar termos e gírias que você não conhece o significado.

Script kid é quem faz "ataques" usando de ferramentas e exploits feitos por terceiros. E depois se glorifica como se tivesse feito algo incrível quando, na verdade, ele não tem mérito nenhum nisso. É basicamente como um impostor que rouba o mérito dos outros.

Não vi esse comportamento neste post. Se ele é ou não, não sei nem quero saber. Mas não tem nada de "script kid" neste post.

Sugiro: http://www.catb.org/jargon/html/S/script-kiddies.html

"ainnn, mas é um código bobo"

Sim, porque ele é um iniciante (newbie). Tu esperava um código fodástico feito por um iniciante? Eu não tenho essa expectativa irreal.

duduReal7

Autor

12 dias atrás

valeu cara, na real esse foi meu primeiro projeto envolvendo malwares, desde que comecei sempre foquei no desenvolvimento de sorftware, programo a 2 anos no entanto to a mais de um ano em uma escola integral o que complica um pouco as coisas.

E na verade isso tudo se deu por conta de que meus professores estão em greve o q me deu um tempo para fazer esse projeto

fernandodev

13 dias atrás

achei interessante, bem massa
Mas como sempre o user tem que fazer a besteira de clicar em arquivos de origem duvidosa kkkkk

Mas também é um problema das plataformas permitir que aconteça acesso por roubo de cookies, pq tem como indentificar a maquina q está conectando o server, e na real eles sabem, mas não sei pq ainda permite acesso por roubo de session, daria pra contornar isso exigindo a digitação de um token de quatro digito pra quando identificasse session diferente da habitual, ou criar um hash da maquina, e caso seja diferente exigir o token, caso não digite, desloga o user

duduReal7

Autor

12 dias atrás

isso é uma boa ideia, mas e se o usuario tiver usando vpn ? e se ele tiver viajando? pra toda vez q ele trocar de wifi ele vai ter q logar novamente na sua conta?
A aideia dos cookie é basicamente o oposto disso, mudar isso faria com q o objetivo do cookie fosse inválido, alem de q exepirar os cookie em um curto periodo tambem resulta na invalidade do objetivo principal do mesmo, quanto a parte de "definir uma maquina padrão", essa informação em requisições http vem aparti do cabeçario mas especificamente o userAgente, e um atacante pode facilmente manipular essa informação tambem, sendo assim, a plataforma tem q tomar a decisão de pedir pra vc fazer o login constantimente ou usar os cookies, a primeira opção geralmente é usada por plataformas que guardam informações bastante sensiveis, como bancos,sistemas de governo e etc... a binace é um bom exemplo, ela tem uma opção de 2auth q vc usa um pendrive com algumas credencias alem da credencias de login

fernandodev

12 dias atrás

Por isso, o token de 4 dígitos é mais fácil para o usuário lembrar do que uma senha complexa. Embora seja possível manipular o user agent, clonar completamente um dispositivo é muito mais difícil. Existem sites que mapeiam e verificam o quão único você é na web, como o AmIUnique.org/fingerprint. Esse site utiliza um cálculo estatístico para criar um hash único com base nas informações coletadas do seu IP, dados do dispositivo, configurações do navegador e outros detalhes. Quanto mais única for a combinação desses fatores, mais identificável será o seu "fingerprint" digital online

GiorgeLucas

12 dias atrás

Caraca, o funcionamento disso é muito lindo

duduReal7

Autor

12 dias atrás

pse ne ? queria entender o pq das pessoas tarem dando "deslike"

condEduardo

12 dias atrás

vai ver por que isso tecnicamente está relacionado a crimes, mesma que essa não seja sua intenção. Qualquer uso disso aí por sua parte ou de qualquer terceiro é crime com pena aplicável.

sauloFerroMaciel

12 dias atrás

Cara, parabêns. Eu com 22 só sei programar jogos e outros softwares casuais... Preciso focar em segurança pelo visto.

devPagliuso

12 dias atrás

Cara, será que tu não consegue relatar esse erro ai pra netflix, sei lá, os cara podiam dar uns trocado né kkkkkk parabéns mano

Autor

post certo ? kkkkk

Já pensou em tentar criar um PDF com essas mesmas informações? poderia trazer algo relacionado a isso.