Como eu crie um malware que rouba todos os dados do navegador com python e nodejs
SpyWare
Apresentação
Oi, pode me chamar de dudu, tenho 16 anos e programo des dos 14. Recentemente eu crie um malware, to vindo aqui compartilhar o funcionamente (teorico) e o que eu aprendi com isso.
Introdução ao malware
O spy-child , pse foi ass q eu o apilidei ele desculpe, é um spyware feito em python e compilado para um executavel. como qualquer spyware o que ele faz é coletar dados da vitima, o seu objetivo principal é a coleta de dados de navegadores, são eles chrome,edge e fireFox.
ele sequestra cookies e senhas salvas localmente pelo navegador e manda direto para uma api externa a qual esta sob total posse do atacante.
Funcionamente
Como ele faz isso ?
Para responder essa pergunta primeiro precisamos entender como que suas informações sao salvas, os tres armazenam seus dados localmente em um arquivo, No caso do chrome C:\Users\dudu\AppData\Local\Google\Chrome\User Data\Default\Network\cookies
. ele usa sql para interagir com esses dados.
Ele coleta esses dados, cria um arquivo e armazena os cookies, ele utiliza o sqlLite3 do python para poder interagir com esse arquivo, e recolhe informações do cookie como dominio, nome, o valor e etc... No entanto o chrome n ia deixar uma infomação sensivel assim sem proteção, o valor do cookie vem criptografado, porem a hash pode ser quebrada, a chave da hash pode ser encontrada utilizando base64 e uma biblioteca chamda win32crypt, não vou me aprofundar, para saber mais clique aqui (vale ressaltar que o malware foi feito aparti desse blog).
E é dessa forma q ele extrai os cookies. Para os logins salvos é a mesma coisa, apenas o caminho que muda, o mesmo vale para o edge. o firefox se quer nem criptografa os valores, ja os logins ele utliza um criptografia deferente, bem melhor, porem ainda sim quebravel, segue o link https://github.com/unode/firefox_decrypt.
por fim apos coletar tudo, ele recolhe informações do sistema e tira um print da tela, todas essas informações são enviadas para api, onde vai acontecer o "pos processamento" dos dados , a api vai passar os cookies(json) para netScape e salva-los, deixa os logins em um formato mais legivel, converte a imagem(base64) para uma png valida novamente e pronto ai esta um malware q um adolescente fez q pode te dar uma dor de cabeça a mais.
Backdoor
Quem seria burro de clicar em um executavel q pesa 20mb e que o windows defender ta dizendo que é um tronjan. Se voçe pensou isso, parabens, voçe tem razão, e eu respondo te respondo : niguem.
Por esse motivo que eu integrei com um backoor "uma porta dos fundos", o mais sensato seria criar algo leve q faça donwload do spyware e o execute, te aprensento o vbs(Visual Basic Script), seguindo essa linha de raciocinio eu compactei uma imagem comun com o script vbs(o qual faz o donwload e executa) criando um sfx, isso me retornou um executavel q abre a imagem e executa o script, so isso ja funcionaria, mas perai... .exe ? uma forma de burlar isso seria mudando o formato para .scr, e voa la, funcionando, no entanto o windows deffender ta identificando ele como um trojan, sendo assim, vc muda o formato novamente para .png(n funciona se abrir dando dois cliques, porem pelo cmd sim) logo, criamos um atalho do png, e fazemos com q o atalho execute o png pelo cmd, mudamos o icone do atalho para o icone padrão de fotos, deixamos a imagem oculta, compactamos tudo, e pronto vc tem um aquivo .rar de 200kb q contem um atalho e uma foto oculta.
Nesse momento voçe manda para a sua professora, ela descompacta, e entt ela aperta no atalho e aparece uma foto de uma atividade que ela mandou voçe fazer, olha que fofo, ao mesmo tempo loga na sua host um ip e um nome de usuario do windows, voçe rouba as credencas dela do painel de notas e nunca mais tira abaixo de 9.
Adicionais
Alem de um spyware, tambem pode ser adiconado a esse projeto outros malwares como um ransoware, um shell reverso entre tantos outros.
Esse malware foi feito para windows, é possivel e bastante provavel que possa ser feito uma versão linux.
Esse post tem fins educativos. tem como publico alvo estudantes e intusiastas do assunto, não me responsabilizo nem pela meu cafe da manhã diria com o q vc vai fazer com esse conhecimento.
qualquer coisa me chama no discord.
pse ne ? queria entender o pq das pessoas tarem dando "deslike"
Ninguem gosta Script Kiddie, além de ser bobo, é cringe
Sem contar que tem maneiras muito mais faceis de roubo de sessão do que fazer esse trabalho todo aí
Esse malware foi feito para windows, é possivel e bastante provavel que possa ser feito uma versão linux.
Ninguem vai acessar o Root do Linux para abrir uma foto, ou dar permissão com CHMOD para leitura e escrita de um .PNG, geralmente usuários Linux estão bem acima da média pra isso, sem contar que o "diretório Linux" não segue um padrão tao comum assim de pastas como é o Windows, muitos usuarios utilizam Flatpak/Snap que simulam um ambiente isolado de WorkScape, justamente para não acontecerem de gente troll mandar um Kid Script para ser executado igual você faz
achei interessante, bem massa Mas como sempre o user tem que fazer a besteira de clicar em arquivos de origem duvidosa kkkkk
Mas também é um problema das plataformas permitir que aconteça acesso por roubo de cookies, pq tem como indentificar a maquina q está conectando o server, e na real eles sabem, mas não sei pq ainda permite acesso por roubo de session, daria pra contornar isso exigindo a digitação de um token de quatro digito pra quando identificasse session diferente da habitual, ou criar um hash da maquina, e caso seja diferente exigir o token, caso não digite, desloga o user
Caraca, o funcionamento disso é muito lindo
Cara, parabêns. Eu com 22 só sei programar jogos e outros softwares casuais... Preciso focar em segurança pelo visto.
Cara, será que tu não consegue relatar esse erro ai pra netflix, sei lá, os cara podiam dar uns trocado né kkkkkk parabéns mano
Já pensou em tentar criar um PDF com essas mesmas informações? poderia trazer algo relacionado a isso.