TrojanSpy.Win32.Muyem.A

Roba información del sistema.

Instalación

Agrega las carpetas siguientes:

• %ProgramData%\{Random String}
• %ProgramData%\{Random String}\files
• %ProgramData%\{Random String}\files\Autofill
• %ProgramData%\{Random String}\files\CC
• %ProgramData%\{Random String}\files\Cookies
• %ProgramData%\{Random String}\files\Downloads
• %ProgramData%\{Random String}\files\Files
• %ProgramData%\{Random String}\files\History
• %ProgramData%\{Random String}\files\Soft
• %ProgramData%\{Random String}\files\Soft\Authy
• %ProgramData%\{Random String}\files\Wallets
• %ProgramData%\{Random String}\files\Wallets\ElectronCash
• %ProgramData%\{Random String}\files\Wallets\Electrum
• %ProgramData%\{Random String}\files\Wallets\ElectrumLTC
• %ProgramData%\{Random String}\files\Wallets\Ethereum
• %ProgramData%\{Random String}\files\Wallets\Exodus
• %ProgramData%\{Random String}\files\Wallets\JAXX
• %ProgramData%\{Random String}\files\Wallets\MultiDoge

Rutina de infiltración

Infiltra los archivos siguientes donde guarda la información que recopila:

• %ProgramData%\{Random String}\c
• %ProgramData%\{Random String}\history
• %ProgramData%\{Random String}\ld
• %ProgramData%\{Random String}\historych
• %ProgramData%\{Random String}\wd
• %ProgramData%\{Random String}\files\cookie_list.txt
• %ProgramData%\{Random String}\files\outlook.txt
• %ProgramData%\{Random String}\files\information.txt
• %ProgramData%\{Random String}\files\screenshot.jpg
• %ProgramData%\{Random String}\files\Autofill\Google Chrome_Default.txt
• %ProgramData%\{Random String}\files\CC\Google Chrome_Default.txt
• %ProgramData%\{Random String}\files\Cookies\Google Chrome_Default.txt
• %ProgramData%\{Random String}\files\Cookies\cookies_Mozilla Firefox_dxxbjsgn.default.txt
• %ProgramData%\{Random String}\files\Cookies\Edge_Cookies.txt
• %ProgramData%\{Random String}\files\Cookies\IE_Cookies.txt
• %ProgramData%\{Random String}\files\Downloads\Google Chrome_Default.txt
• %ProgramData%\{Random String}\files\Files\Default.zip
• %ProgramData%\{Random String}\files\History\Google Chrome_Default.txt
• %ProgramData%\{Random String}\files\History\history_Mozilla Firefox_dxxbjsgn.default.txt

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

• http://{BLOCKED}est.com/380
• http://{BLOCKED}est.com/freebl3.dll
• http://{BLOCKED}est.com/mozglue.dll
• http://{BLOCKED}est.com/msvcp140.dll
• http://{BLOCKED}est.com/nss3.dll
• http://{BLOCKED}est.com/softokn3.dll
• http://{BLOCKED}est.com/vcruntime140.dll

Guarda los archivos que descarga con los nombres siguientes:

• %ProgramData%\freebl3.dll
• %ProgramData%\mozglue.dll
• %ProgramData%\msvcp140.dll
• %ProgramData%\nss3.dll
• %ProgramData%\softokn3.dll
• %ProgramData%\vcruntime140.dll

Robo de información

Roba información del sistema.

Recopila los siguientes datos:

• User credentials from the following:
  • Telegram Desktop
  • Mozilla Thunderbird
  • Filezilla
• Screenshot of the desktop during execution
• Browser Information
  • Autofill Data
  • Cookies
  • Browsing History
  • Download History
  • Browser Credentials
• System Information
  • ISP
  • Coordinates
  • ZIP
  • City
  • Country
  • IP
  • Video Card
  • RAM
  • CPU Count
  • Processsor
  • Time Zone
  • Local Time
  • Keyboard Language
  • Display Language
  • Display Resolution
  • User Name
  • Computer Name
  • Windows OS
  • Working Directory
  • GUID
  • Machine ID
  • Date
  • Version

Información sustraída

La información robada se guarda en los siguientes archivos:

• %ProgramData%\{Random String}\files\US_{GUID}{Date}.zip

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}est.com