TrojanSpy.Win32.Muyem.A

Entwendet Systemdaten.

Installation

Fügt die folgenden Ordner hinzu:

• %ProgramData%\{Random String}
• %ProgramData%\{Random String}\files
• %ProgramData%\{Random String}\files\Autofill
• %ProgramData%\{Random String}\files\CC
• %ProgramData%\{Random String}\files\Cookies
• %ProgramData%\{Random String}\files\Downloads
• %ProgramData%\{Random String}\files\Files
• %ProgramData%\{Random String}\files\History
• %ProgramData%\{Random String}\files\Soft
• %ProgramData%\{Random String}\files\Soft\Authy
• %ProgramData%\{Random String}\files\Wallets
• %ProgramData%\{Random String}\files\Wallets\ElectronCash
• %ProgramData%\{Random String}\files\Wallets\Electrum
• %ProgramData%\{Random String}\files\Wallets\ElectrumLTC
• %ProgramData%\{Random String}\files\Wallets\Ethereum
• %ProgramData%\{Random String}\files\Wallets\Exodus
• %ProgramData%\{Random String}\files\Wallets\JAXX
• %ProgramData%\{Random String}\files\Wallets\MultiDoge

Einschleusungsroutine

Schleust die folgenden Dateien ein, in denen sie ihre gesammelten Daten speichert:

• %ProgramData%\{Random String}\c
• %ProgramData%\{Random String}\history
• %ProgramData%\{Random String}\ld
• %ProgramData%\{Random String}\historych
• %ProgramData%\{Random String}\wd
• %ProgramData%\{Random String}\files\cookie_list.txt
• %ProgramData%\{Random String}\files\outlook.txt
• %ProgramData%\{Random String}\files\information.txt
• %ProgramData%\{Random String}\files\screenshot.jpg
• %ProgramData%\{Random String}\files\Autofill\Google Chrome_Default.txt
• %ProgramData%\{Random String}\files\CC\Google Chrome_Default.txt
• %ProgramData%\{Random String}\files\Cookies\Google Chrome_Default.txt
• %ProgramData%\{Random String}\files\Cookies\cookies_Mozilla Firefox_dxxbjsgn.default.txt
• %ProgramData%\{Random String}\files\Cookies\Edge_Cookies.txt
• %ProgramData%\{Random String}\files\Cookies\IE_Cookies.txt
• %ProgramData%\{Random String}\files\Downloads\Google Chrome_Default.txt
• %ProgramData%\{Random String}\files\Files\Default.zip
• %ProgramData%\{Random String}\files\History\Google Chrome_Default.txt
• %ProgramData%\{Random String}\files\History\history_Mozilla Firefox_dxxbjsgn.default.txt

Download-Routine

Öffnet die folgenden Websites, um Dateien herunterzuladen:

• http://{BLOCKED}est.com/380
• http://{BLOCKED}est.com/freebl3.dll
• http://{BLOCKED}est.com/mozglue.dll
• http://{BLOCKED}est.com/msvcp140.dll
• http://{BLOCKED}est.com/nss3.dll
• http://{BLOCKED}est.com/softokn3.dll
• http://{BLOCKED}est.com/vcruntime140.dll

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %ProgramData%\freebl3.dll
• %ProgramData%\mozglue.dll
• %ProgramData%\msvcp140.dll
• %ProgramData%\nss3.dll
• %ProgramData%\softokn3.dll
• %ProgramData%\vcruntime140.dll

Datendiebstahl

Entwendet Systemdaten.

Folgende Daten werden gesammelt:

• User credentials from the following:
  • Telegram Desktop
  • Mozilla Thunderbird
  • Filezilla
• Screenshot of the desktop during execution
• Browser Information
  • Autofill Data
  • Cookies
  • Browsing History
  • Download History
  • Browser Credentials
• System Information
  • ISP
  • Coordinates
  • ZIP
  • City
  • Country
  • IP
  • Video Card
  • RAM
  • CPU Count
  • Processsor
  • Time Zone
  • Local Time
  • Keyboard Language
  • Display Language
  • Display Resolution
  • User Name
  • Computer Name
  • Windows OS
  • Working Directory
  • GUID
  • Machine ID
  • Date
  • Version

Entwendete Daten

Die entwendeten Informationen werden in der folgenden Datei gespeichert:

• %ProgramData%\{Random String}\files\US_{GUID}{Date}.zip

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://{BLOCKED}est.com