TrojanSpy.MSIL.ANGRYSTEALER.THHBHBD

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Erstellt die folgenden Ordner:

• %AppDataLocal%\44_23
• %AppDataLocal%\44_23\Browsers
• %AppDataLocal%\44_23\Browsers\360Browser
• %AppDataLocal%\44_23\Browsers\7Star
• %AppDataLocal%\44_23\Browsers\Amigo
• %AppDataLocal%\44_23\Browsers\BlackHaw
• %AppDataLocal%\44_23\Browsers\BraveSoftware
• %AppDataLocal%\44_23\Browsers\CatalinaGroup
• %AppDataLocal%\44_23\Browsers\CentBrowser
• %AppDataLocal%\44_23\Browsers\Chedot
• %AppDataLocal%\44_23\Browsers\Chromium
• %AppDataLocal%\44_23\Browsers\Chromodo
• %AppDataLocal%\44_23\Browsers\CocCoc
• %AppDataLocal%\44_23\Browsers\Comodo
• %AppDataLocal%\44_23\Browsers\Coowon
• %AppDataLocal%\44_23\Browsers\Cyberfox
• %AppDataLocal%\44_23\Browsers\Edge
• %AppDataLocal%\44_23\Browsers\Elements Browser
• %AppDataLocal%\44_23\Browsers\Epic Privacy Browser
• %AppDataLocal%\44_23\Browsers\Fenrir Inc
• %AppDataLocal%\44_23\Browsers\Firefox
• %AppDataLocal%\44_23\Browsers\Google
• %AppDataLocal%\44_23\Browsers\Google(x86)
• %AppDataLocal%\44_23\Browsers\IceDragon
• %AppDataLocal%\44_23\Browsers\Iridium
• %AppDataLocal%\44_23\Browsers\K-Meleon
• %AppDataLocal%\44_23\Browsers\K-Melon
• %AppDataLocal%\44_23\Browsers\Kometa
• %AppDataLocal%\44_23\Browsers\liebao
• %AppDataLocal%\44_23\Browsers\Mail.Ru
• %AppDataLocal%\44_23\Browsers\MapleStudio
• %AppDataLocal%\44_23\Browsers\Maxthon3
• %AppDataLocal%\44_23\Browsers\Nichrome
• %AppDataLocal%\44_23\Browsers\Opera
• %AppDataLocal%\44_23\Browsers\Orbitum
• %AppDataLocal%\44_23\Browsers\Pale Moon
• %AppDataLocal%\44_23\Browsers\QIP Surf
• %AppDataLocal%\44_23\Browsers\Sputnik
• %AppDataLocal%\44_23\Browsers\Thunderbird
• %AppDataLocal%\44_23\Browsers\Torch
• %AppDataLocal%\44_23\Browsers\uCozMedia
• %AppDataLocal%\44_23\Browsers\Uran
• %AppDataLocal%\44_23\Browsers\Vivaldi
• %AppDataLocal%\44_23\Browsers\Waterfox
• %AppDataLocal%\44_23\Browsers\Yandex
• %AppDataLocal%\44_23\Files
• %AppDataLocal%\44_23\Files\{Folders Copied From %Desktop%}
• %AppDataLocal%\44_23\Files\{Folders Copied From %User Profile%\Documents}
• %AppDataLocal%\44_23\Files\{Folders Copied From %User Profile%\source}
• %AppDataLocal%\44_23\Wallets
• %AppDataLocal%\44_23\Wallets\Armory
• %AppDataLocal%\44_23\Wallets\Atomic\Local Storage\leveldb\
• %AppDataLocal%\44_23\Wallets\Bitcoin Core
• %AppDataLocal%\44_23\Wallets\Bytecoin
• %AppDataLocal%\44_23\Wallets\Dash Core
• %AppDataLocal%\44_23\Wallets\Electrum
• %AppDataLocal%\44_23\Wallets\Ethereum
• %AppDataLocal%\44_23\Wallets\Exodus
• %AppDataLocal%\44_23\Wallets\Jaxx\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb\
• %AppDataLocal%\44_23\Wallets\Litecoin Core
• %AppDataLocal%\44_23\Wallets\Monero
• %AppDataLocal%\44_23\Wallets\Zcash
• %AppDataLocal%\44_23\VPN
• %AppDataLocal%\44_23\VPN\Proton VPN
• %AppDataLocal%\44_23\VPN\OpenVPN
• %AppDataLocal%\44_23\VPN\NordVPN
• %AppDataLocal%\44_23\Steam
• %AppDataLocal%\44_23\Steam\ssnf
• %AppDataLocal%\44_23\Steam\configs
• %AppDataLocal%\44_23\Discord
• %AppDataLocal%\44_23\Discord\{Folders from %Application Data%\Discord\Local Storage\leveldb}
• %AppDataLocal%\44_23\Discord\{Folders from %Application Data%\Discord PTB\Local Storage\leveldb}
• %AppDataLocal%\44_23\Discord\{Folders from %Application Data%\Discord Canary\leveldb}
• %User Temp%leveldb → copy of Discord's leveldb folder, deleted afterwards
• %AppDataLocal%\44_23\FileZilla
• %AppDataLocal%\44_23\Telegram\{Folders from Telegram's tdata path}
• %AppDataLocal%\44_23\VimeWorld
• %AppDataLocal%\44_23\Browsers\New_Passwords
• %AppDataLocal%\44_23\Browsers\New_Cookies

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Desktop unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Einschleusungsroutine

Schleust die folgenden Dateien ein, in denen sie ihre gesammelten Daten speichert:

• %AppDataLocal%\44_23\Browsers\{Browser Name}\CreditCards.txt
• %AppDataLocal%\44_23\Browsers\{Browser Name}\Passwords.txt
• %AppDataLocal%\44_23\Browsers\{Browser Name}\Autofill.txt
• %AppDataLocal%\44_23\Browsers\{Browser Name}Bookmarks.txt
• %AppDataLocal%\44_23\Browsers\Cookies_{Browser Name}{Random Number}.txt
• %AppDataLocal%\44_23\Passwords.txt
• %AppDataLocal%\44_23\Files\{Folders Copied From %Desktop%}\{.txt Files Copied From %Desktop%}
• %AppDataLocal%\44_23\Files\{Folders Copied From %User Profile%\Documents}\{.txt Files Copied From %User Profile%\Documents}
• %AppDataLocal%\44_23\Files\{Folders Copied From %User Profile%\source}\{.txt Files Copied From %User Profile%\source}
• %AppDataLocal%\44_23\Wallets\Armory\{Files Copied from}
• %AppDataLocal%\44_23\Wallets\Atomic\Local Storage\leveldb\{Files Copied from %AppData%\atomic\Local Storage\leveldb
• %AppDataLocal%\44_23\Bitcoin Core\wallet.dat
• %AppDataLocal%\44_23\Bytecoin\{.wallet Files Copied from %AppData%\bytecoin}
• %AppDataLocal%\44_23\Dash Core\wallet.dat
• %AppDataLocal%\44_23\Wallets\Electrum\{Files Copied from %AppData%\Electrum\wallets}
• %AppDataLocal%\44_23\Wallets\Ethereum\{Files Copied from %AppData%\Ethereum\keystore}
• %AppDataLocal%\44_23\Wallets\Exodus\{Files Copied from %AppData%\Exodus\exodus.wallet}
• %AppDataLocal%\44_23\Wallets\Jaxx\{Files Copied from %AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb\}
• %AppDataLocal%\44_23\Litecoin Core\wallet.dat
• %AppDataLocal%\44_23\Wallets\Monero\{stolen information file}
• %AppDataLocal%\44_23\Wallets\Zcash\{Files Copied from %AppData%\Zcash}
• %AppDataLocal%\44_23\Screen.png
• %AppDataLocal%\44_23\Process.txt
• %AppDataLocal%\44_23\Information.txt
• %AppDataLocal%\44_23\VPN\Proton VPN\{Path to %AppDataLocal%ProtonVPN where user.config is found}\user.config
• %AppDataLocal%\44_23\VPN\OpenVPN\{OVPN File Name}.ovpn
• %AppDataLocal%\44_23\VPN\NordVPN\accounts.txt
• %AppDataLocal%\44_23\Steam\AccountsList.txt
• %AppDataLocal%\44_23\Steam\Games.txt
• %AppDataLocal%\44_23\Steam\ssnf\{Steam ssnf Files}
• %AppDataLocal%\44_23\Steam\configs\{Steam vdf Files}
• %AppDataLocal%\44_23\Discord\Tokens.txt
• %AppDataLocal%\44_23\Discord\{Folders and Files from %Application Data%\Discord\Local Storage\leveldb}
• %AppDataLocal%\44_23\Discord\{Folders and Files from %Application Data%\Discord PTB\Local Storage\leveldb}
• %AppDataLocal%\44_23\Discord\{Folders and Files from %Application Data%\Discord Canary\leveldb}
• %User Temp%\leveldb\{Files From Discord's leveldb Folder} → deleted afterwards
• %AppDataLocal%\44_23\FileZilla\FileZilla.log
• %AppDataLocal%\44_23\Telegram\{Folders and Files from Telegram's tdata path}
• %AppDataLocal%\44_23\VimeWorld\[{VimeWorld Rank}]{VimeWorld Level}{VimeWorld Username}
• %AppDataLocal%\44_23\Browsers\New_Passwords\Chrome Passwords.txt
• %AppDataLocal%\44_23\Browsers\New_Cookies\Chrome Cookies.txt
• %AppDataLocal%\{Country Code}[{Date and Time When the Zip File is Created}]-{IP Address of Affected Machine}-{Username}.zip → contains all stolen information

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Desktop unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Datendiebstahl

Folgende Daten werden gesammelt:

• Browser data (such as Credit Card Information, Username, Passwords, Website Cookies, and Bookmarks) from the following browsers:
  • 360 Browser
  • 7Star
  • Amigo
  • Atom
  • BlackHawk
  • Brave-Browser
  • CentBrowser
  • Chedot
  • ChromePlus
  • Chromium
  • Chromodo
  • Citrio
  • CocCoc
  • Comodo Dragon
  • Comodo IceDragon
  • Coowon
  • Cyberfox
  • Elements Browser
  • Epic Privacy Browser
  • Firefox
  • Google Chrome
  • Iridium
  • K-Meleon
  • K-Melon
  • Kometa
  • Liebao
  • Maxthon3
  • Microsoft Edge
  • Nichrome
  • Opera
  • Opera GX
  • Orbitum
  • Pale Moon
  • QIP Surf
  • Sleipnir5
  • Sputnik
  • Thunderbird
  • Torch
  • Uran
  • Vivaldi
  • Waterfox
  • Yandex Browser
• Cryptocurrency wallet data from the following applications:
  • Armory
  • Atomic Wallet
  • Bitcoin Core
  • Bytecoin
  • Dash Core
  • Electrum
  • Ethereum
  • Exodus
  • Jaxx
  • Litecoin Core
  • Monero
  • Zcash
• Configuration files from the following VPN applications:
  • NordVPN
  • OpenVPN
  • Proton VPN
• Online account information:
  • Discord
    • Files in Discord leveldb folders
    • Tokens
  • Steam
    • Account Names
    • Configuration Files
    • Games Acquired
    • SSNF Files
  • Telegram
    • Keys
    • Session Directories
    • Settings Files
    • User Data
    • User Tags
  • VimeWorld
    • Configuration File (contains username, passwords, rank, level, etc.)
    • OSSUID
• Credentials for FileZilla:
  • Host
  • Port
  • Username
  • Password
• System Information:
  • Basic Service Set Identifier
  • Clipboard Content
  • Computername
  • Country
  • CPU ID
  • CPU Name
  • Current Date and Time
  • Geolocation
  • GPU Name
  • IP Address
  • List of Running Processes
  • Log Date
  • Malware Current Working Directory
  • Operating System
  • Screen Resolution
  • Screenshot of Affected Machine
  • Total RAM
  • Username

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• https://{BLOCKED}egram.org/bot7111654667:AAFkYkvnCsb8YVJsK4iKBRAyyQO9vyaJa7U/sendDocument?chat_id=1435200072&caption=\n{Contents of Log}

Andere Details

Es macht Folgendes:

• It copies .txt files from %Desktop%, %User Profile%\Documents, and %User Profile%\source that does not exceed 5000 bytes to %AppDataLocal%\44_23\Files while the folder does not exceed 25000 bytes.
• It connects to the following URL to identify the affected machine's geolocation:
  • http://{BLOCKED}i.com/xml/
• It connects to the following URL to retrieve online account information:
  • https://{BLOCKED}ommunity.com/profiles/{Steam Username}
  • https://{BLOCKED}eworld.ru/user/name/{VimeWorld Username}