2016-05-15 - Kit

U-Admin (Universal Admin): A Phishing(Web&Android)/Grabber/ATS/Token kit

Fallout Vault Boy mask

The goal of the post is to open-source data on a kit that has been seen live impersonating bank portal. This is mostly Raw data, few part only will be "google translated".

On September 2015 the 16th,  an advert about a multipurpose kit appeared underground :
------------------------------------------
By: [Redacted]
Subject : Инжекты | Админки | Фейки, -50% от рыночных цен -

Доброе время суток всем.

Рад предоставить свои услуги по разработке следующих проектов:

Инжекты;
Grabers 80-150$*;
Pasive ATS 500-800$*;
Active ATS 800-1500$*;
Tooken Panels 400-800$*;
Replacers 200-400$*;
И многое другое...

Фейки;
Простые клоны 70-150$*;
Продвинутые с перехватом 200-500$*;

Админки на пхп;
Под любые нужды ...

*данные цены служат ориентиром. Реальная цена будет зависеть от каждого техзадания индивидуально

Jabber( [Redacted]@exploit.im )
ICQ( 6[Redacted]8 )
------------------------------------------
Google Translated as :
------------------------------------------
By: [Redacted]
Subject: Inject | admin area | Fakes, -50% of the market price -

Good time of day to all.

I am glad to provide services for the development of the following projects:

Inject;
Grabers 80-150 $ *;
Pasive ATS 500-800 $ *;
Active ATS 800-1500 $ *;
Tooken Panels 400-800 $ *;
Replacers 200-400 $ *;
And much more...

fakes;
Simple clones 70-150 $ *;
Advanced interception $ 200-500 *;

Admin Center on php;
Under any needs ...

* These prices are a guide. The actual price will depend on each individual ToRs

Jabber ([Redacted] @ exploit.im)
ICQ (6[Redacted]8)

------------------------------------------
NB : The Subject became later :
--
Инжекты | Админки | Фейки | Android Инжекты, -50% от рыночных цен -
-
Inject | admin area | fakes | Inject Android, 50% of the market price -
--
Seller later added :

------------------------------------------
Последее время очень мнoго вопросов по поводу как работает перехват на скам странице. Решил детально описать процес чтобы изначально не вводить клиентов в заблуждение.

В самом начале надо понять что такое "СКАМ СТАНИЦА".
"СКАМ СТРАНИЦА"- это копия реальной странички логина в банк ,которая находится на нашем сервере с похожем на банк доменом. Все детали вводимые на ней будут лететь к нам.
Далее уже на выбор, или дание идут на емайл, или на специально сделанную админку.
Тоесть суть замута такова:
жертва попадает на нашу страницу ->
вводит данные->
потом наша страница кидает жертву обратно на оригинал ->
и мы поже ипользуем данные сами чтобы войти..

| Это самый примитивный пример , на самом деле все чуток сложнее и зависит от фантазии заказа .

Дальше надо понять что такое "ПЕРЕХВАТ".
"ПЕРЕХВАТ" - eто вид обмана, очень часто ипользуетса в инжектах. Само название говорит за себя.
Инжект перехватывает дание в рельном времени и присылает нам . В это время жертва как обычно ждет с гиф на экране,а вы заходите вместо него.

| Зачем это надо?
Затем что если для перевода вам требуется дополнительно второй пароль/смс/тукен то можно это запросить ,пока жертва ждёт, через специально сделанные команды в админке.
Основной бенефит что это можно делать повторно ,много раз.


|
| Перехват на скам страничке работать точно также . Жертвa вводить дание и ждет пока мы его спросим то что нам надо.
|
Поэтапно:

Преставим себе что есть банк где на вход надо UserName и Password . На активацию перевода по IBAN надо нoмер с тукен-прибора (Pin1) и для переводa надо ввести номер в тукен-прибор и тукен-прибор даст нам номер обратно (Pin2)
Теперь преставим себе что у нас есть скам странница на этот банк , которая будет отсылать нам получение даные для входа и потом покажет заставку жертве с просьбой подождать. 

Мы находимся на другом конце в админке и наблюдаем такую катину .

Краткое пособие по админке.

"I'am Online"- показывает находится ли оператор в админке , если "Off-line" то все жертвы будут перенаправлены обратно на оригинал страницу.

Колонка "Keys" это есть полученные детали для входа.
Колонка "Pin" это для получених тукенов/пинов .
Колонка "Task" для добавленья операции по запросу тукена/пинов .
Колонка "Redirect" показывает релле редиректа конкретной жертвы . Если поставить "On" то жертва будет перенапрвлена на оригинал сразу.

| *Если жертва мегает красним то это значит что жертва какраз ждет от вас комаду

И так , на даном этапе у нас есть логины для входа , и ждущий человвек на нашей странице .
Входим, идем на активацию IBAN . Там нас спрашивает Pin1/Tooken1 .
Мы идем обратно на админку и нажимаем запрос операции. У нас откроется окно с выбором операций .

Нажимаем на "ask Pin1" и жертва видит вот это:
Дальше все просто. Жертва вводить "pin1" и он приходит к нам на админку . А жертва в это время снова видит пред собой заставку "подождите" .
Если пин подошол, идем на перевод и такимже способом просим "pin2". Важно понимать что это все можно повторять много раз и после неверного пина можно снова его запросить .

Если залив ушол , ставим "Redirect" на "On" и юсер уходит на оригинал. Или в продвинутых системах можно показать ему техроботы и попросить зайти попоже.

Вот и все!

**Все тексты на английском по админке написаны с ошибками , я это знаю ).Делал очень быстро . Никак не дойдут руки сделать до конца 

------------------------------------------
On march 2016 the 9th :
------------------------------------------

доброе время суток всем.

С великой радостью рад предложить свои услуги по разработке инжектов под мобильные устройства для многих публичных андроид ботов .
Цены зависят от тех заданий .
Пример роботы на один из UK линков можно посмотреть тут 
[REDACTED]
pass:demo

With great joy, I am pleased to offer its services on developing injects for mobile devices for many public android bots.
The prices depend on those jobs.
An example of one of the injects on the UK link can be found here 
[REDACTED]
pass:demo
------------------------------------------
Files mirrored here. (pass: demo)
On march 2016 the 16th:
------------------------------------------
Ladie's and Gentlemen's.
Don't miss out some fresh and well-designed mobile injects for UK.
9 common links.
Hight % success task.
------------------------------------------
On march 2016 the 31st:
------------------------------------------
Доброе время суток всем.
Последним временем много клиентов задают одни и те же вопросы связаны с видео o работе перехвата на Нидерланды.
Я решил более детально описать систему работы и поставить ее где-то в общедоступном месте.
Прежде всего пару строчек хотел бы написать o админ панели. Oна называется Universal Admin. называется она не просто так Универсал,
у нее реализована возможность поддерживать много разных проектов таких как: Tooken intercept,Text manager,Log parser,Drop manager
и многое другое.


[2 images here...not available at dump time]

Не обращайте внимания на разные цвета и стили на Скринах ,стили меняются тоже прямо с админки.

[1 image here...not available at dump time]


Tо есть админ панель одна а плагинов под нее может быть много.Hа видео Вы видели эту админку с плагином Tooken intercept + Text manager.

Text manager-это менеджер текстовых блоков и название кнопок, которые будут автоматически вставляется в вашы страницы,инжекты и
фишинг сраницы.


[1 images here...not available at dump time]

Все что надо сделать для работы это создать текстовый блок с определенным ID ,потом на вашей странице создать элемент с этим же ID и
вставить одну функцию в конец документа.
Для примера: У вас есть инжект в котором есть определенная Легенда запроса дополнительной информации.
Чтобы изменить эту Легенду вам как минимум надо разбираться в HTML и как максимум пересобирать конфигурацию бота.
С помощью текстового менеджера в моей админке все что вам надо это поменять текст в определенном блоке и нажать сохранить.

Tooken intercept- это собственно то о чем мы будем сейчас говорить.
Не важно каким способом Вы стараетесь обмануть жертву (Injec ,phishing page) цель является добытие определенного пакета информации .
Для примера скажем у вас есть Paypal Phishing page с помощью которой вы добывайте username и пароль. эти данные отсылаются куда-то на
админку в нашем случае это Universal Admin.
Username и пароль это и есть тот самый пакет информации который после отправки формы сохраняются у вас ,а кокретно вот тут


[1 image here...not available at dump time]

Использовать эту информацию можно по-разному в зависимости от вашего проекта.
Одним из методов использования этой информации является перехват(intercept) ,то есть использовать информацию в реальном времени прямо сейчас.
Вы перехватили username и пароль и вместо жертвы попадаете на ак ,пока жертва ждет думая что страница грузится.
В случае с PayPal использования перехвата не совсем обязательно, так как полученные пакет информации а именно username и пароль Вы
можете использовать и через неделю. Но в связи с тем что последнее время много контор используют One Time password(Tooken),
которые действительны только 30 секунд, обойтись без Tooken interstep нереально.
Tooken intercept дает вам возможность использовать тот самый пароль(tooken) на протяжении 30 секунд пока жертва ждет загрузки следующей страницы.

Возьмем тот же PayPal. Скажем вы получили только что username и пароль, зашли внутрь, и на главной странице вам выскочила рамочка где
говорится что для подтверждения вашей личности на ваш мобильный телефон был отправлен SMS с коротким кодом(Tooken) код
который надо вести тam же в рамочкe.
Код который был отправлен на мобильный телефон жертвы!!! жертва которая на данный момент находится на вашей странице(Phishing Inject)!!!
там где только что она(жертва) ввела username и пароль, username и пароль те что пришли к вам на админку и те что вы использовали для того
чтобы зайти на тот самый аккаунт где вам выскочила рамочка!!

В стандартных методах это называется запал и етот пакет информации можно выбросить. можно сделать такую же рамочку после логин этапа
для всех юзеров на нашей пишем фишинг или инжекте, но проблема в том что это рамочка показывается не всем и не всегда и если жертве
на телефон ничего не приходило то он туда ничего никогда не ведет.

Я думаю всем понятно что здесь нужна динамическая страница с дистанционным управлением. То есть вы должны принимать решения показывать
рамочку данной жертве или не показывать.

Именно это и есть основа.Страница которая присоединена к нашей админке может меняться исходя из команд которые вы задаете в админке.
Команд может быть много, но для этого в определенном месте в админке для каждой жертвы eсть список команд, которые можно
задать для данной страницы на которой он(жертвa) находится.


[1 image here...not available at dump time]

в нашем примитивном пример из PayPal в списке операции должнa присутствовать кнопка "показать рамочку".
Если вы зашли на аккаунт с только что полученными данными и у вас выкидывает эту рамочку вы нажимаете кнопку "показать рамочку" для данной жертвой.
И у нее на экране покажет такую же рамочку.
Tooken, который будет введён в эту рамочку прилетит к вам на админ туда же где лежат username и пароль от этой жертвы.
Думаю здесь все понятно.
Единственное что хотел бы подчеркнуть то что жертва в любой момент может закрыть страницу закрыть компьютер вырубить сеть.
В таком случае связь страницы с админкой теряется и задавать команды для данной страницы не имеет смысла.
Для этого в нашей админке есть Tracker онлайн статуса который позволяет нам следить находится ли жертва онлайн или нет. 


[1 image here...not available at dump time]


Теперь структура Tooken intercept админки.
Первая страница это главная страница где показана текучка всех посетителей(жертв) ваших инжектов и фишингов.
Напротив каждого посетителя есть кнопка O-Panel при нажатии на которую вы попадаете уже на индивидуальную панель операций для данного посетителя.

[1 image here...not available at dump time]

Именно здесь и находится список операций.
Именно здесь крупным планом видно онлайн статус. Прошу заметить что онлайн статусов бывает 3(ONLINE, OFFLINE и WAITING).
WAITING статус светится красным и светится только тогда когда жертва ждет операции от вас ,то есть только что вам был отправлен
пакет информации и страница ждет дальнейших инструкций!.


[1 image here...not available at dump time]

Также жертва с этим статусом мигает красным и на главной странице что поднимает их в таблице вверх.

Окей давайте теперь возьмем реальный пример Phishing страницы скажем одного из нидерландских банков. тут реализованные как PC
так и мобильная версия.


[1 image here...not available at dump time]

Вы делаете рассылку на email и линки могут открываться на мобильном. в основном 50% так и происходит.
Скажем кто-то(жертвa) переходит на Линк в вашем email и попадает на нашу страницу. Вы об этом узнаете сразу через Jabber Alert,
в котором будет говориться про нового посетителя.
Самое время открыть Universal панель. там вы увидите Новую колонку с информацией про посетителя а Конкретно его айпи ширина
экрана и многое другое

[1 image here...not available at dump time]

с минуты на минуту к нам прилетят логины, их можно ждать как на главной так и на O-Panel.

после того как Вы получили логины, Посетитель уходит в режим ожидания. об этом Вам будут говорить красные мигающие панели,
она экранe у жертвы будет примерно такое
[1 image here...not available at dump time]
Что делать вам с полученным пакетом Логинов Решать только Вам. Но если у вас, находясь внутри в аккаунте, попросят ввести
tooken, пароль, SMS пароль то самое время вернуться на O-Panel и нажать соответствующую команду.
Команда которая приведет к тому что страница на которой находится жертва покажет ему запрос того что вам надо.


[1 image here...not available at dump time]

После того как жертва ввела в форму Tooken ,она снова уходит в режим ожидания, и Вы снова должны определиться что делать и
какую команду ему дать. И так до бесконечности или пока жертва не Закроет страницу. Но если все-таки это надоест вам то у вас
есть два варианта распрощаться жертвой.

это поставить блок

[1 image here...not available at dump time]

или перенаправить его на оригинал страницу.


[1 image here...not available at dump time]

При работе с одним посетителем могут стучать другие новые.
Это будет отвлекать и все новые посетители будут ждать. чтобы этого избежать на главной странице есть ричашки которые контролируют
регистрацию новых посетителей и переадресацию старых поголовно.

Если поставить регистрацию OFF ,то в админке только будут работать Те кто уже Там есть, все новые будут попадать на оригинал страницы контор.
A если поставить редирект всех ,то все посетители(жертвы) кто есть в админке будут перенаправлены на свои оригинальные страницы поголовно.
Это надо делать когда вы собрались к примеру уходить.

------------------------------------------
On april 2016 the 4th:
------------------------------------------
увжаемые друзья

новые инжекты под Андроид






------------------------------------------
On april 2016 the 11th:
------------------------------------------
Продается Пак инжектов под андроид для сбора карт.

WhatsUp
Facebook
Instagram
Viber
Skayp
GooglePlay

Price:450$

user posted image

Обезательно посмотрите видео. В инжектах реализованы Responsive & animations приемы.
[Redacted]
pass:1qaz
------------------------------------------
File mirrored here (pass : 1qaz)
On april 2016 the 12th:
------------------------------------------
Pack of Injects for Columbia banks for sale.
Credit cards colectors with admin panel on https domen.

bancofalabella
rbmcolombia
colpatria
bancolombia
bbvanet
bancodeoccidente
bancodebogota
bancopichincha

Price:800$

[3 images here...not available at dump time]

Video: [Redacted]
Pass:columbia 
------------------------------------------
File mirrored here  (pass: columbia)
On april 2016 the 14th:
------------------------------------------
Pack of Injects for Canada banks for sale.
Credit cards colectors with admin panel on https domen.

Td
Cibc
Bmo
Desj
Rbc

Price:500$

[3 images here...not available at dump time]

Video: [Redacted]
Pass:canada 
------------------------------------------
File mirrored here (pass: canada)
On april 2016 the 18th:
------------------------------------------
Недавно вышел апдейт на U-admin(Universal Admin).

Теперь все более соответствует написанному выше описанием.
Админ панель теперь имеют специальную директорию под plugins, и все плагины в этой директории автоматически прописывается в админке.
[1 image here...not available at dump time]
Например, вы приобрели U-admin а потом "Log parser Plugin". Для этого вам просто надо поставить папку Log parser в плагин директорию в админке.

Также был разработан VNC плагин который дает возможность коннектится к вашему botnet API с запросом на соединение по VNC/SOCKS для определенного бота.
Этот плагин является дополнением к "Tooken Intercept" плагина про который я писал вам выше. Если вы используете "Tooken Intercept" с инжектором
и в вашем боте есть в VNC, и в админке вашего Бота есть API управление VNC то при наличии VLC plugin в U-admin возможно сделать запрос на соединение по vnc или socks с ботом.
Как правило это делается автоматически при самом первом соединение с инжектоm,то есть когда жертва заходит на страницу перехвата.

В связи с этим была слегка переделана O-Panel где в команды была добавлена новая опция проверки статуса VNC/SOCKS соединение.
[1 image here...not available at dump time]
Куда ,как вы видите, при успешном соединении выводятся данные на VNC/SOCKS
------------------------------------------

File Tree from some components :
Folder PATH listing
UADMIN_
|   cp.php
|   head.php
|   index.php
|   login.php
|   session.php
|  
+---files
|   |   animate.css
|   |   bootbox.min.js
|   |   bootstrap-notify.min.js
|   |   bootstrap-social.css
|   |   hover-min.css
|   |   index.php
|   |   jquery-ui.css
|   |   jquery-ui.min.js
|   |   jquery.js
|   |   my.css
|   |  
|   +---bootstrap
|   |   +---css
|   |   |       bootstrap-theme.css
|   |   |       bootstrap-theme.css.map
|   |   |       bootstrap-theme.min.css
|   |   |       bootstrap-theme.min.css.map
|   |   |       bootstrap.css
|   |   |       bootstrap.css.map
|   |   |       bootstrap.min.css
|   |   |       bootstrap.min.css.map
|   |   |      
|   |   +---fonts
|   |   |       glyphicons-halflings-regular.eot
|   |   |       glyphicons-halflings-regular.svg
|   |   |       glyphicons-halflings-regular.ttf
|   |   |       glyphicons-halflings-regular.woff
|   |   |       glyphicons-halflings-regular.woff2
|   |   |      
|   |   +---js
|   |   |       bootstrap.js
|   |   |       bootstrap.min.js
|   |   |       npm.js
|   |   |      
|   |   \---switch
|   |           bootstrap-switch.min.css
|   |           bootstrap-switch.min.js
|   |          
|   +---dt
|   |       dataTables.bootstrap.min.css
|   |       dataTables.bootstrap.min.js
|   |       jquery.dataTables.min.js
|   |      
|   \---images
|           ui-icons_444444_256x240.png
|           ui-icons_555555_256x240.png
|           ui-icons_777620_256x240.png
|           ui-icons_777777_256x240.png
|           ui-icons_cc0000_256x240.png
|           ui-icons_ffffff_256x240.png
|          
+---opt
|       geo_switch.txt
|       index.php
|       theme.txt
|      
+---plugins
|   +---intercept
|   |   |   bc.php
|   |   |   class.jabber.php
|   |   |   dynamic__part.php
|   |   |   functions.php
|   |   |   gate.php
|   |   |   head.php
|   |   |   index.php
|   |   |   main.php
|   |   |   panel.php
|   |   |   text.php
|   |   |  
|   |   +---ajax
|   |   |       cp_ajax.php
|   |   |       index.php
|   |   |      
|   |   +---files
|   |   |   |   animate.css
|   |   |   |   bootbox.min.js
|   |   |   |   bootstrap-notify.min.js
|   |   |   |   bootstrap-social.css
|   |   |   |   hover-min.css
|   |   |   |   index.php
|   |   |   |   jquery-ui.css
|   |   |   |   jquery-ui.min.js
|   |   |   |   jquery.js
|   |   |   |   my.css
|   |   |   |  
|   |   |   +---bootstrap
|   |   |   |   +---css
|   |   |   |   |       bootstrap-theme.css
|   |   |   |   |       bootstrap-theme.css.map
|   |   |   |   |       bootstrap-theme.min.css
|   |   |   |   |       bootstrap-theme.min.css.map
|   |   |   |   |       bootstrap.css
|   |   |   |   |       bootstrap.css.map
|   |   |   |   |       bootstrap.min.css
|   |   |   |   |       bootstrap.min.css.map
|   |   |   |   |      
|   |   |   |   +---fonts
|   |   |   |   |       glyphicons-halflings-regular.eot
|   |   |   |   |       glyphicons-halflings-regular.svg
|   |   |   |   |       glyphicons-halflings-regular.ttf
|   |   |   |   |       glyphicons-halflings-regular.woff
|   |   |   |   |       glyphicons-halflings-regular.woff2
|   |   |   |   |      
|   |   |   |   +---js
|   |   |   |   |       bootstrap.js
|   |   |   |   |       bootstrap.min.js
|   |   |   |   |       npm.js
|   |   |   |   |      
|   |   |   |   \---switch
|   |   |   |           bootstrap-switch.min.css
|   |   |   |           bootstrap-switch.min.js
|   |   |   |          
|   |   |   +---dt
|   |   |   |       dataTables.bootstrap.min.css
|   |   |   |       dataTables.bootstrap.min.js
|   |   |   |       jquery.dataTables.min.js
|   |   |   |      
|   |   |   \---images
|   |   |           ui-icons_444444_256x240.png
|   |   |           ui-icons_555555_256x240.png
|   |   |           ui-icons_777620_256x240.png
|   |   |           ui-icons_777777_256x240.png
|   |   |           ui-icons_cc0000_256x240.png
|   |   |           ui-icons_ffffff_256x240.png
|   |   |          
|   |   \---public
|   |           .ht.db
|   |           index.php
|   |           Removed.txt
|   |          
|   +---log_parser
|   |   |   functions.php
|   |   |   gate.php
|   |   |   head.php
|   |   |   index.php
|   |   |   main.php
|   |   |  
|   |   +---ajax
|   |   |       server_side.php
|   |   |       ssp.class.php
|   |   |      
|   |   +---classes
|   |   |       browser.php
|   |   |      
|   |   +---files
|   |   |   |   animate.css
|   |   |   |   bootbox.min.js
|   |   |   |   bootstrap-notify.min.js
|   |   |   |   bootstrap-social.css
|   |   |   |   hover-min.css
|   |   |   |   jquery-ui.min.js
|   |   |   |   jquery.js
|   |   |   |   my.css
|   |   |   |  
|   |   |   +---bootstrap
|   |   |   |   +---css
|   |   |   |   |       bootstrap-theme.css
|   |   |   |   |       bootstrap-theme.css.map
|   |   |   |   |       bootstrap-theme.min.css
|   |   |   |   |       bootstrap-theme.min.css.map
|   |   |   |   |       bootstrap.css
|   |   |   |   |       bootstrap.css.map
|   |   |   |   |       bootstrap.min.css
|   |   |   |   |       bootstrap.min.css.map
|   |   |   |   |      
|   |   |   |   +---fonts
|   |   |   |   |       glyphicons-halflings-regular.eot
|   |   |   |   |       glyphicons-halflings-regular.svg
|   |   |   |   |       glyphicons-halflings-regular.ttf
|   |   |   |   |       glyphicons-halflings-regular.woff
|   |   |   |   |       glyphicons-halflings-regular.woff2
|   |   |   |   |      
|   |   |   |   +---js
|   |   |   |   |       bootstrap.js
|   |   |   |   |       bootstrap.min.js
|   |   |   |   |       npm.js
|   |   |   |   |      
|   |   |   |   \---switch
|   |   |   |           bootstrap-switch.min.css
|   |   |   |           bootstrap-switch.min.js
|   |   |   |          
|   |   |   \---dt
|   |   |           dataTables.bootstrap.min.css
|   |   |           dataTables.bootstrap.min.js
|   |   |           jquery.dataTables.min.js
|   |   |          
|   |   \---public
|   |           .htBd.db
|   |           geo_switch.txt
|   |           index.php
|   |           theme.txt
|   |          
|   +---settings
|   |   |   functions.php
|   |   |   index.php
|   |   |   main.php
|   |   |  
|   |   \---public
|   |           cfg.php
|   |           index.php
|   |          
|   +---style
|   |   |   functions.php
|   |   |   index.php
|   |   |   main.php
|   |   |  
|   |   \---public
|   |           index.php
|   |          
|   \---text
|       |   functions.php
|       |   main.php
|       |   text.php
|       |  
|       \---public
|               index.php
|               texts.txt
|              
\---scr

Note: If you are interested by the [Redacted] part please send a mail

SOCIAL ENGINEERING
kye VNC grabber Universal Admin Tooken u-admin injects fishing uadmin Android