2013-10-20 - Connect the dots

Jolly Roger Stealer - Stoberox.B(?)/Zlader.F



Piece of Jolly Roger Stealer Advert


Original Text of the Advert
------------------------------------------
 Jolly Roger Stealer - обновленная система сбора па, Стилер пассов с функционалом лоадера

Доброго времени суток, уважаемое black-hat сообщество!

Предлагаю вашему вниманию систему по сбору паролей "Jolly Roger Stealer".
Система представляет собой тихий нерезидентный софт, похищающий пароли пользователя от различных ресурсов и отправляющий их на сервер.

Технические характеристики:

- Малый размер (вес ~37 кб некриптованный и непакованный)

- Не выбрасывает из себя никаких DLL/файлов, не используются сторонние библиотеки, файлы и тд.

- Стабильная работа в Windows XP/2003/Vista/7/8 (x32/x64)

- Работа в любых учетных записях (UAC - on/off ; admin/user/guest)

- Нет оповещений от UAC (Vista/7) и службы безопасности системы

- Динамический импорт части API функций по хешам от их имен

- Некое подобие антиэмуляции (насколько это возможно в Ring3)

- Антиотладка (обнаружение активной ринг3 отладки)

- Не содержит в себе статичных текстовых строк (данные генерируются в риал-тайме)

- Шифрование передаваемых данных

- Совместим с любыми крипторами/пакерами/протекторами
(не используются сторонние библиотеки, файлы и тд. стандартный ЕХЕ файл без TLS, EOF, etc.)

- Детект присутствия Sandbox'ов и некоторых проактивных защит
(при их обнаружении бот прекращает свое выполнение и безопасно самоудаляется)

Детектируемые SandBox'ы:

+ JoeBox (3 variants)
+ SandboxIE
+ SunBelt (3 variants)
+ ThreadExpert (2 variants)
+ Sandbox (1,2)
+ Norman SandBox
+ Anubis (2 variants)
+ CWSandbox

Детектируемые виртуальные машины:

+ Virtual PC
+ VirtualBox
+ VMware
+ Parallels Workstation
+ QEMU

Детектируемые снифферы:

+ Wireshark

Детектируемые Ring3 / Ring0 отладчики:
+ OllyDBG
+ Immunity Debugger
+ WinDbg
+ W32DAsm
+ IDA
+ SoftICE
+ Syser
+ TRW
+ TWX

- Обход фаерволов и проактивных защит путем инжекта Payload'a в доверенный процесс (настройки по умолчанию)

Тесты производились на следующих продуктах с последними обновлениями:

AVG Internet Security 2012 - обходит
Avira Premium Security Suite 10.0.0.608 - обходит
BitDefender Internet Security 2012 - обходит
F-Secure Internet Security 2011 - обходит
Jetico Personal Firewall 2010 - обходит
Norton Internet Security 2012 - обходит
Sunbelt Personal Firewall 4.6.1861.0 - обходит
G Data InternetSecurity 2012 - обходит
Trend Micro Titanium Internet Security 2012 - обходит
Dr.Web Security Space Pro 7 - обходит
ESET NOD32 Smart Security 5 - обходит
Panda Internet Security 2012 - обходит
Malware Defender 2.7.3.0002 - обходит
Kaspersky Internet Security 2012 - обходит

В некоторых случаях необходим хороший крипт! (пример - KIS 2012)

- Детект проблемных продуктов защиты, которые данный код категорически не в силах
oбойти и самоудаление в случае их обнаружения

- Поддержка получения и расшифровки паролей от следующих программ (актуальных последних версий):
+ FAR Manager
+ Total Commander
+ WS_FTP
+ CuteFTP
+ FlashFXP
+ FileZilla
+ FTP Commander
+ BulletProof FTP
+ SmartFTP
+ TurboFTP
+ FFFTP
+ CoffeeCup FTP
+ CoreFTP
+ FTP Explorer
+ Frigate3 FTP
+ SecureFX
+ UltraFXP
+ FTPRush
+ WebSitePublisher
+ BitKinex
+ ExpanDrive
+ ClassicFTP
+ Fling
+ SoftX
+ Directory Opus
+ FreeFTP
+ DirectFTP
+ LeapFTP
+ WinSCP
+ 32bit FTP
+ NetDrive
+ WebDrive
+ FTP Control
+ Opera
+ WiseFTP
+ FTP Voyager
+ Firefox
+ FireFTP
+ SeaMonkey
+ Flock
+ Mozilla Suite Browser
+ LeechFTP
+ Odin Secure FTP Expert
+ WinFTP
+ FTP Surfer
+ FTPGetter
+ ALFTP
+ Internet Explorer
+ Dreamweaver
+ DeluxeFTP
+ Google Chrome
+ Chromium
+ SRWare Iron
+ ChromePlus
+ Bromium
+ Nichrome
+ Comodo Dragon
+ RockMelt
+ K-Meleon
+ Epic
+ Staff-FTP
+ AceFTP
+ Global Downloader
+ FreshFTP
+ BlazeFTP
+ NETFile
+ GoFTP
+ 3D-FTP
+ Easy FTP
+ Xftp
+ FTP Now
+ Robo-FTP
+ LinasFTP
+ Cyberduck
+ Putty
+ Notepad++ (NppFTP)
+ CoffeeCup Visual Site Designer
+ CoffeeCup Sitemapper
+ FTPShell
+ FTPInfo
+ NexusFile
+ FastStone Browser
+ CoolNovo
+ WinZip
+ Yandex.Internet
+ MyFTP
+ sherrod FTP
+ NovaFTP
+ Windows Mail
+ Windows Live Mail
+ Pocomail
+ Becky!
+ IncrediMail
+ The Bat!
+ Outlook
+ Thunderbird
+ FastTrackFTP

Скриншоты:
http://i019.radikal.ru/1308/91/598ac0e5c9b4.png
http://s019.radikal.ru/i601/1308/42/0213cf6c75a8.png
[redacted - thx Denis]

(апдейт от 03.10.13)

Также присутствует функционал лоадера:

+ Неограниченное количество заданий на закачку файлов
+ Размер файлов не ограничен
+ Возможность разделения заданий по странам, а также указание лимита загрузок
+ В случае неудачного запуска загруженного файла он будет удален
+ Проверка файла на PE перед запуском (стартуем только исполняемые файлы)
+ Удобное управление заданиями и статистика в админ-панели
+ Все данные по заданиям и репортам подвергаются 2х-уровневому шифрованию в оба направления (админка <-> бот)

http://s020.radikal.ru/i713/1310/de/752434b61d42.png
http://i016.radikal.ru/1310/59/5125d395c417.png

+ В админку добавлен парсер для выборки нужных акков

http://s020.radikal.ru/i717/1310/21/20c97535bd51.png


Прайс: билд = 500$
ребилд = 30$

ONLY PERFECTMONEY!

Контакты: [email protected]
------------------------------------------
Translated by google as:
------------------------------------------
Jolly Roger Stealer - updated collection system pas Steeler passes with a functional loader

Good day, dear black-hat community!

I offer you a system to collect passwords "Jolly Roger Stealer".
The system is a quiet resident software that steals user passwords from a variety of resources and sending them to the server .

Specifications:

- Small size (weight ~ 37 kb nekriptovanny and nepakovanny )

- Do not throw yourself out of any DLL / file does not use third-party libraries , files, and so on.

- Stable work in Windows XP/2003/Vista/7/8 (x32/x64)

- Work in any account (UAC - on / off; admin / user / guest)

- No alerts from UAC (Vista / 7) and the security of the system

- Dynamic imports of API functions for hashes of their names

- A sort of anti-emulation techniques (as far as possible in the Ring3)

- Anti debugging (finding active ring3 debugging)

- Does not contain static text strings (the data generated in the half - rial )

- Encryption of data transmitted

- Compatible with any kriptore / packers / protectors
( do not use third-party libraries , files, and so on. standard EXE file without TLS, EOF, etc.)

- Detect the presence Sandbox'ov and some proactive protection
( if they are detected bot stops its execution and safely deletes itself )

Detectable SandBox'y :

+ JoeBox ( 3 variants)
+ SandboxIE
+ SunBelt ( 3 variants)
+ ThreadExpert ( 2 variants)
+ Sandbox (1,2)
+ Norman SandBox
+ Anubis ( 2 variants)
+ CWSandbox

Detectable virtual machines :

+ Virtual PC
+ VirtualBox
+ VMware
+ Parallels Workstation
+ QEMU

Detectable sniffers :

+ Wireshark

Detectable Ring3 / Ring0 debuggers :
+ OllyDBG
+ Immunity Debugger
+ WinDbg
+ W32DAsm
+ IDA
+ SoftICE
+ Syser
+ TRW
+ TWX

- Bypass firewalls and proactive protection by inzhekta Payload'a into a trusted process ( the default setting )

Tests were carried out on the following products with the latest updates :

AVG Internet Security 2012 - bypasses
Avira Premium Security Suite 10.0.0.608 - bypasses
BitDefender Internet Security 2012 - bypasses
F-Secure Internet Security 2011 - bypasses
Jetico Personal Firewall 2010 - bypasses
Norton Internet Security 2012 - bypasses
Sunbelt Personal Firewall 4.6.1861.0 - bypasses
G Data InternetSecurity 2012 - bypasses
Trend Micro Titanium Internet Security 2012 - bypasses
Dr.Web Security Space Pro 7 - bypasses
ESET NOD32 Smart Security 5 - bypasses
Panda Internet Security 2012 - bypasses
Malware Defender 2.7.3.0002 - bypasses
Kaspersky Internet Security 2012 - bypasses

In some cases, a good crypt ! (Example - KIS 2012)

- Detect the problem of security products that this code can not categorically
oboyti samoudalenie and when found

- Support for receiving and decrypting passwords of the following programs ( current latest version ) :
+ FAR Manager
+ Total Commander
+ WS_FTP
+ CuteFTP
+ FlashFXP
+ FileZilla
+ FTP Commander
+ BulletProof FTP
+ SmartFTP
+ TurboFTP
+ FFFTP
+ CoffeeCup FTP
+ CoreFTP
+ FTP Explorer
+ Frigate3 FTP
+ SecureFX
+ UltraFXP
+ FTPRush
+ WebSitePublisher
+ BitKinex
+ ExpanDrive
+ ClassicFTP
+ Fling
+ SoftX
+ Directory Opus
+ FreeFTP
+ DirectFTP
+ LeapFTP
+ WinSCP
+ 32bit FTP
+ NetDrive
+ WebDrive
+ FTP Control
+ Opera
+ WiseFTP
+ FTP Voyager
+ Firefox
+ FireFTP
+ SeaMonkey
+ Flock
+ Mozilla Suite Browser
+ LeechFTP
+ Odin Secure FTP Expert
+ WinFTP
+ FTP Surfer
+ FTPGetter
+ ALFTP
+ Internet Explorer
+ Dreamweaver
+ DeluxeFTP
+ Google Chrome
+ Chromium
+ SRWare Iron
+ ChromePlus
+ Bromium
+ Nichrome
+ Comodo Dragon
+ RockMelt
+ K-Meleon
+ Epic
+ Staff-FTP
+ AceFTP
+ Global Downloader
+ FreshFTP
+ BlazeFTP
+ NETFile
+ GoFTP
+ 3D-FTP
+ Easy FTP
+ Xftp
+ FTP Now
+ Robo-FTP
+ LinasFTP
+ Cyberduck
+ Putty
+ Notepad + + (NppFTP)
+ CoffeeCup Visual Site Designer
+ CoffeeCup Sitemapper
+ FTPShell
+ FTPInfo
+ NexusFile
+ FastStone Browser
+ CoolNovo
+ WinZip
+ Yandex.Internet
+ MyFTP
+ Sherrod FTP
+ NovaFTP
+ Windows Mail
+ Windows Live Mail
+ Pocomail
+ Becky!
+ IncrediMail
+ The Bat!
+ Outlook
+ Thunderbird
+ FastTrackFTP

Screenshots:
http://i019.radikal.ru/1308/91/598ac0e5c9b4.png
http://s019.radikal.ru/i601/1308/42/0213cf6c75a8.png

( update on 3/10/13 )

Also there is a functional loader :

+ Unlimited number of tasks to download the file
+ File size is unlimited
+ Possibility to divide tasks across countries, as well as an indication limit of downloads
+ In case of an unsuccessful launch the downloaded file, it will be removed
+ Check the file to PE before starting ( we start only executables )
+ Easy task management and statistics in the admin panel
+ All data on assignments and report are 2- tier encryption in both directions ( admin page <- > bot )

http://s020.radikal.ru/i713/1310/de/752434b61d42.png
http://i016.radikal.ru/1310/59/5125d395c417.png
[redacted - thx Denis]

+ Parser added to the admin panel to select the desired akkov

http://s020.radikal.ru/i717/1310/21/20c97535bd51.png


Price : build = $ 500
Rebuild = $ 30

ONLY PERFECTMONEY!

------------------------------------------

Note price has moved to :
билд = 350$
ребилд = 15$
on 2013-10-17


It seems Microsoft name the sample associated to this panel : Stoberox.B (but i wonder if it's related to other samples named Stoberox by Microsoft)
Eset name it : Zlader.F

Login Screen :

Stoberox C&C - Login Screen


Here is how it looks inside :

Stoberox C&C - Bots Statistic

Stoberox C&C - Logs
Email Lists
Stoberox C&C - Logs Search


Stoberox C&C - Create Tasks

Storebox - Tasks Statistic




"pony + админка spyeye ? " - GrandSoft

<edit 2hours after post: Fixed typo : Zlader != Zlater />

Sample: Here (OwnCloud)

C&C call:
81.177.141.211 POST /jr2/gate.php HTTP/1.0
8342 | 81.177.128.0/18 | RTCOMM | RU | JINO.RU | AVGURO TECHNOLOGIES LTD. HOSTING SERVICE PROVIDER
Host: esco.myjino.ru
Accept: */*
Accept-Encoding: none
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Content-Type: application/x-www-form-urlencoded
Connection: Close

Content-Length: 196
Analysis by Joe Sandbox Cloud