3 min de leitura ·

Como eu crie um malware que rouba todos os dados do navegador com python e nodejs

SpyWare

Apresentação

Oi, pode me chamar de dudu, tenho 16 anos e programo des dos 14. Recentemente eu crie um malware, to vindo aqui compartilhar o funcionamente (teorico) e o que eu aprendi com isso.

Introdução ao malware

O spy-child , pse foi ass q eu o apilidei ele desculpe, é um spyware feito em python e compilado para um executavel. como qualquer spyware o que ele faz é coletar dados da vitima, o seu objetivo principal é a coleta de dados de navegadores, são eles chrome,edge e fireFox.

ele sequestra cookies e senhas salvas localmente pelo navegador e manda direto para uma api externa a qual esta sob total posse do atacante.

Funcionamente

Como ele faz isso ?

Para responder essa pergunta primeiro precisamos entender como que suas informações sao salvas, os tres armazenam seus dados localmente em um arquivo, No caso do chrome C:\Users\dudu\AppData\Local\Google\Chrome\User Data\Default\Network\cookies. ele usa sql para interagir com esses dados.

Ele coleta esses dados, cria um arquivo e armazena os cookies, ele utiliza o sqlLite3 do python para poder interagir com esse arquivo, e recolhe informações do cookie como dominio, nome, o valor e etc... No entanto o chrome n ia deixar uma infomação sensivel assim sem proteção, o valor do cookie vem criptografado, porem a hash pode ser quebrada, a chave da hash pode ser encontrada utilizando base64 e uma biblioteca chamda win32crypt, não vou me aprofundar, para saber mais clique aqui (vale ressaltar que o malware foi feito aparti desse blog).

E é dessa forma q ele extrai os cookies. Para os logins salvos é a mesma coisa, apenas o caminho que muda, o mesmo vale para o edge. o firefox se quer nem criptografa os valores, ja os logins ele utliza um criptografia deferente, bem melhor, porem ainda sim quebravel, segue o link https://github.com/unode/firefox_decrypt.

por fim apos coletar tudo, ele recolhe informações do sistema e tira um print da tela, todas essas informações são enviadas para api, onde vai acontecer o "pos processamento" dos dados , a api vai passar os cookies(json) para netScape e salva-los, deixa os logins em um formato mais legivel, converte a imagem(base64) para uma png valida novamente e pronto ai esta um malware q um adolescente fez q pode te dar uma dor de cabeça a mais.

Backdoor

Quem seria burro de clicar em um executavel q pesa 20mb e que o windows defender ta dizendo que é um tronjan. Se voçe pensou isso, parabens, voçe tem razão, e eu respondo te respondo : niguem.

Por esse motivo que eu integrei com um backoor "uma porta dos fundos", o mais sensato seria criar algo leve q faça donwload do spyware e o execute, te aprensento o vbs(Visual Basic Script), seguindo essa linha de raciocinio eu compactei uma imagem comun com o script vbs(o qual faz o donwload e executa) criando um sfx, isso me retornou um executavel q abre a imagem e executa o script, so isso ja funcionaria, mas perai... .exe ? uma forma de burlar isso seria mudando o formato para .scr, e voa la, funcionando, no entanto o windows deffender ta identificando ele como um trojan, sendo assim, vc muda o formato novamente para .png(n funciona se abrir dando dois cliques, porem pelo cmd sim) logo, criamos um atalho do png, e fazemos com q o atalho execute o png pelo cmd, mudamos o icone do atalho para o icone padrão de fotos, deixamos a imagem oculta, compactamos tudo, e pronto vc tem um aquivo .rar de 200kb q contem um atalho e uma foto oculta.

Nesse momento voçe manda para a sua professora, ela descompacta, e entt ela aperta no atalho e aparece uma foto de uma atividade que ela mandou voçe fazer, olha que fofo, ao mesmo tempo loga na sua host um ip e um nome de usuario do windows, voçe rouba as credencas dela do painel de notas e nunca mais tira abaixo de 9.

Adicionais

Alem de um spyware, tambem pode ser adiconado a esse projeto outros malwares como um ransoware, um shell reverso entre tantos outros.

Esse malware foi feito para windows, é possivel e bastante provavel que possa ser feito uma versão linux.

Esse post tem fins educativos. tem como publico alvo estudantes e intusiastas do assunto, não me responsabilizo nem pela meu cafe da manhã diria com o q vc vai fazer com esse conhecimento.

qualquer coisa me chama no discord.

devaleatoriocurioso

6 meses atrás

pse ne ? queria entender o pq das pessoas tarem dando "deslike"

Ninguem gosta Script Kiddie, além de ser bobo, é cringe

Sem contar que tem maneiras muito mais faceis de roubo de sessão do que fazer esse trabalho todo aí

Esse malware foi feito para windows, é possivel e bastante provavel que possa ser feito uma versão linux.

Ninguem vai acessar o Root do Linux para abrir uma foto, ou dar permissão com CHMOD para leitura e escrita de um .PNG, geralmente usuários Linux estão bem acima da média pra isso, sem contar que o "diretório Linux" não segue um padrão tao comum assim de pastas como é o Windows, muitos usuarios utilizam Flatpak/Snap que simulam um ambiente isolado de WorkScape, justamente para não acontecerem de gente troll mandar um Kid Script para ser executado igual você faz

Silva97

6 meses atrás

Calma calabreso, tu tá tentando lacrar para cima de um iniciante que começou só há 2 anos. Além disso ele tem 16 anos...

Com esse projeto ele aprendeu como os navegadores armazenam cookies e credenciais no auto-complete. É uma coisa positiva e não vejo motivos para ofender alguém que fez um projeto que lhe permitiu aprender como alguma coisa funciona.

Ninguem gosta Script Kiddie, além de ser bobo, é cringe

Isso não é ser script kid. Sugiro não usar termos e gírias que você não conhece o significado.

Script kid é quem faz "ataques" usando de ferramentas e exploits feitos por terceiros. E depois se glorifica como se tivesse feito algo incrível quando, na verdade, ele não tem mérito nenhum nisso. É basicamente como um impostor que rouba o mérito dos outros.

Não vi esse comportamento neste post. Se ele é ou não, não sei nem quero saber. Mas não tem nada de "script kid" neste post.

Sugiro: http://www.catb.org/jargon/html/S/script-kiddies.html

"ainnn, mas é um código bobo"

Sim, porque ele é um iniciante (newbie). Tu esperava um código fodástico feito por um iniciante? Eu não tenho essa expectativa irreal.

duduReal7

Autor

6 meses atrás

valeu cara, na real esse foi meu primeiro projeto envolvendo malwares, desde que comecei sempre foquei no desenvolvimento de sorftware, programo a 2 anos no entanto to a mais de um ano em uma escola integral o que complica um pouco as coisas.

E na verade isso tudo se deu por conta de que meus professores estão em greve o q me deu um tempo para fazer esse projeto

fernandodev

6 meses atrás

achei interessante, bem massa
Mas como sempre o user tem que fazer a besteira de clicar em arquivos de origem duvidosa kkkkk

Mas também é um problema das plataformas permitir que aconteça acesso por roubo de cookies, pq tem como indentificar a maquina q está conectando o server, e na real eles sabem, mas não sei pq ainda permite acesso por roubo de session, daria pra contornar isso exigindo a digitação de um token de quatro digito pra quando identificasse session diferente da habitual, ou criar um hash da maquina, e caso seja diferente exigir o token, caso não digite, desloga o user

duduReal7

Autor

6 meses atrás

isso é uma boa ideia, mas e se o usuario tiver usando vpn ? e se ele tiver viajando? pra toda vez q ele trocar de wifi ele vai ter q logar novamente na sua conta?
A aideia dos cookie é basicamente o oposto disso, mudar isso faria com q o objetivo do cookie fosse inválido, alem de q exepirar os cookie em um curto periodo tambem resulta na invalidade do objetivo principal do mesmo, quanto a parte de "definir uma maquina padrão", essa informação em requisições http vem aparti do cabeçario mas especificamente o userAgente, e um atacante pode facilmente manipular essa informação tambem, sendo assim, a plataforma tem q tomar a decisão de pedir pra vc fazer o login constantimente ou usar os cookies, a primeira opção geralmente é usada por plataformas que guardam informações bastante sensiveis, como bancos,sistemas de governo e etc... a binace é um bom exemplo, ela tem uma opção de 2auth q vc usa um pendrive com algumas credencias alem da credencias de login

fernandodev

6 meses atrás

Por isso, o token de 4 dígitos é mais fácil para o usuário lembrar do que uma senha complexa. Embora seja possível manipular o user agent, clonar completamente um dispositivo é muito mais difícil. Existem sites que mapeiam e verificam o quão único você é na web, como o AmIUnique.org/fingerprint. Esse site utiliza um cálculo estatístico para criar um hash único com base nas informações coletadas do seu IP, dados do dispositivo, configurações do navegador e outros detalhes. Quanto mais única for a combinação desses fatores, mais identificável será o seu "fingerprint" digital online

GiorgeLucas

6 meses atrás

Caraca, o funcionamento disso é muito lindo

duduReal7

Autor

6 meses atrás

pse ne ? queria entender o pq das pessoas tarem dando "deslike"

condEduardo

6 meses atrás

vai ver por que isso tecnicamente está relacionado a crimes, mesma que essa não seja sua intenção. Qualquer uso disso aí por sua parte ou de qualquer terceiro é crime com pena aplicável.

sauloFerroMaciel

6 meses atrás

Cara, parabêns. Eu com 22 só sei programar jogos e outros softwares casuais... Preciso focar em segurança pelo visto.

devPagliuso

6 meses atrás

Cara, será que tu não consegue relatar esse erro ai pra netflix, sei lá, os cara podiam dar uns trocado né kkkkkk parabéns mano

Autor

post certo ? kkkkk

Já pensou em tentar criar um PDF com essas mesmas informações? poderia trazer algo relacionado a isso.