Smokebot

- Dofoil - Smoke Loader

References:

Dissecting Smoke Loader - 2018-07-18 - CertPL - Michał Praszmo Smokebot

SmokeLoader ups its game in 2019 and emerges with a fresh new version. A blog post with all the recent updates is coming up shortly. Meanwhile, here are some IOCs - 2019-06-18 - Twitter - Check Point Research Smokebot bbsindex

The 2019 Resurgence of Smokeloader - 2019-07-09 - Checkpoint - Israel Gubi Smokebot bbsindex

More Reading:

Phish Scales: Malicious Actor Combines Personalized Email, Variety of Malware To Target Execs - 2016-04-05 - Proofpoint - Matthew Mesa TA530 Gozi ISFB TinyLoader Nymaim Dridex Smokebot RecoLoad

EITest: Sinkholing the oldest infection chain - 2018-04-12 - Proofpoint - Kafeine EITest Glazunov Angler Gootkit Cerber CryptXXX Smokebot

CVE-2018-8174 (VBScript Engine) and Exploit Kits - 2018-05-25 - MDNC - Kafeine CVE-2018-8174 RIG Magnitude GrandSoft Fallout Kaixin Hunter GreenFlash Sundown Smokebot

Screenshots:

• 

  Smokebot - Stats

• 

  Smokebot - Stats

• 

  Smokebot - Bots

Advert:

Smoke Bot - новый модульный бот, полная поддержка x64

2018-02-22

Здравствуйте, уважаемые форумчане.

Предлагаю Вам собственную разработку:

Smoke Bot

Smoke Bot - это модульный бот, в основе которого используется функционал резидентного лоадера

Преимущества:

• наличие модулей-плагинов, которые расширяют функционал бота, при этом не влияют на размер бота (не нуждаются в криптовании)
• подробная статистика по версиям ОС (разрядность, привилегии), странам и онлайну
• подробная статистика по заданиям, загрузки/запуски, ограничение на количество и т.п.
• задания для бота на загрузку EXE или DLL (LoadLibrary, regsvr32, запуск из памяти без сохранения на диск)
• гео-таргетинг (выборочные загрузки только для конкретных стран или блокировка для определенных стран)
• персональные задания для каждого бота, возможность бана или удаления бота
• поддержка HTTPS, поддержка .BIT доменов, скачивание файлов заданий с админки или другого URL
• незаметная установка в системе, защита собственных файлов
• возможность обновления бота и резервные адреса для отстука
• возможность использования префиксов (ID) для exe (более точная статистика и разделение заданий)
• исключение повторного запуска на машине с уже работающим ботом (в рамках одной лицензии)
• “гостевой” доступ к статистике заданий
• обход проактивных механизмов АВ (инжектирование в доверенный процесс)
• повышение привилегий Low->High (runas + cmd)
• антиотладка, антиэмуляция, детектирование “песочниц” и виртуальных машин
• легок в криптовании (не содержит в себе дополнительных DLL, оверлеев, TLS, всего одна секция кода)
• работа в Windows 7-10 x32/x64
• небольшой размер бота ~35 Кб

Модули:

• STEALER - модуль для сбора сохраненных паролей из раличных программ (браузеры, E-Mail и др.), все пароли собираются и отсылаются в админку, откуда их можно легко скачать Спойлер

INTERNET EXPLORER / EDGE FIREFOX CHROME OPERA CHROMIUM YANDEX AMIGO QQ OUTLOOK 2007 / 2010 / 2013 / 2016 THUNDERBIRD FILEZILLA WINSCP

• FORM GRABBER - формграббер, работающий в реальном времени с браузерами (IE, EDGE, FF, CHROME, OPERA: поддерживаются как 32 битные, так и 64 битные версии), перехватываются все POST запросы форм (авторизации, платежные данные и т.п), поддержка HTTPS, поиск в админке по части URL или ID бота или ключевому слову из данных
• PASS SNIFFER - сниффер паролей, работающий в реальном времени со всеми приложениями, умеет перехватывать пароли от FTP,POP3,IMAP,SMTP(AUTH LOGIN), данные отправляются в админку и имеют вид:ftp://user:pass@ip:port
• FAKE DNS - продвинутая подмена DNS (подмена выдачи), работает в реальном времени со всеми приложениями, позволяет изменить IP-адрес для домена согласно правилу, которое задается в админке в виде: site.ru=127.0.0.1 (не обходит проверку сертификатов)
• FILE SEARCH - модуль поиска файлов, ищет согласно правилам и отправляет их в админку (возможно указывать сбор всех файлов с определенным расширением или точное имя файла)
• PROCMON - модуль для мониторинга процессов и выполнения задания при нахождении нужного процесса
• DDOS - модуль позволяет осуществлять DDOS-атаки на различные ресурсы (домен или ip-адрес) поддерживается несколько видов атак
• KEYLOGGER - модуль-кейлоггер, перехватывает нажатие клавиш в заданных приложениях, поддерживает Unicode
• HIDDEN TV - модуль скрытого Team Viewer (без РДП, без “параллельной” сессии, холдер видит ваши действия)
• MINER - модуль для майнинга криптовалют (на данный момент только Monero (XMR), только на CPU)
• EMAIL GRABBER - модуль для сбора почтовых адресов с популярных почтовых клиентов (Outlook, Thunderbird, The Bat!)

Скриншоты (резидентная версия): Статистика/Общий вид админки Список ботов Управление заданиями STEALER PROCMON FORM GRABBER PASS SNIFFER FAKE DNS FILE SEARCH DDOS KEYLOGGER HIDDEN TV MINER EMAIL GRABBER

ВНИМАНИЕ!!!:

• данный бот не FUD, вам нужно будет криптовать файл бота
• билдера нет и не будет, ребилды платные и только через меня
• БОТ НЕ РАБОТАЕТ НА ВИРТУАЛЬНЫХ МАШИНАХ И БОЛЬШИНСТВЕ “RDP-ДЕДИКАХ”
• не спрашивайте меня как заработать деньги или получить какую-то выгоду с использованием моего бота, я продаю лишь инструмент

Правила пользования:

• запрещено покупать продукт на несколько лиц (в т.ч “партнеров”), саппорт оказывается только контакту с которого была оплата лицензии
• запрещено выкладывать в публичный доступ файлы бота и админки, это повлечет блокировку лицензии владельца, если таковой будет выявлен
• тестов нет, возврата денег нет, перепродажа лицензий ЗАПРЕЩЕНА

Стоимость:

• BOT - 400$
• STEALER - 100$
• FORM GRABBER - 300$
• PASS SNIFFER - 100$
• FAKE DNS - 100$
• DDOS - 200$
• HIDDNEN TV - 150$
• KEYLOGGER- 100$
• PROCMON - 50$
• FILE SEARCH - 50$
• MINER - 100$
• EMAIL GRABBER - 100$
• ребилд бота - 10$
• обновления: мелкие фиксы - бесплатно, остальное обговаривается отдельно

Контакты: Jabber: [redacted]@exploit.im | [redacted]@xabber.org