一
基本信息
二
Discord Stealer分析
Main
没有混淆,首先获取黑名单数组,检测当前用户是否在黑名单中,如果不在黑名单中,则异步任务调用Program.<>c.<>9.<Main>.<b__6_0>()方法Program.<>c.<>9.<Main>.<b__6_1>()方法,然后获取本地应用程序数据文件夹路径(即C:Users用户名AppDataLocal)并启动异步任务调用Program.<>c.<>9.<Main>.<b__6_2>()方法、Program.<>c.<>9.<Main>.<b__6_3>()**方法,最后调用 Program.RPS()方法,如果在黑名单内,则调用Program.RPS() 方法,Program.RPS()方法是石头剪刀布(Rock, Paper, Scissors)游戏。
WDAGUtilityAccount、3W1GJT、QZSBJVWM、5ISYH9SH、Abby、hmarc、patex、RDhJ0CNFevzX、kEecfMwgj、Frank、8Nl0ColNQ5bq、Lisa、John、george、PxmdUOpVyx、8VizSM、w0fjuOVmCcP5A、lmVwjj9b、PqONjHVwexsS、3u2v9m8、Julia、HEUeRzl、fred、server、BvJChRPnsxn、Harry Johnson、SqgFOf3G、Lucas、mike、PateX、h7dk1xPr、Louise、User01、test、RGzcBUyrznReg、05h00Gi0、43By4、4tgiizsLimS、6O4KyHhJXBiR、7wjlGX7PjlW4、Amy、AppOnFlySupport、ASPNET、azure、BUiA1hkm、cM0uEGN4do、cMkNdS6、DefaultAccount、dOuyo8RV71、DVrzi、e60UW、ecVtZ5wE、EGG0p、G2DbYLDgzz8Y、GjBsjb、Guest、ICQja5iT、IVwoKUF、j6SHA37KA、j7pNjWM、jude、kFu0lQwgX5P、KUv3bT4、lK3zMR、l3cnbB8Ar5b8、lmVwjj9b、Louise、Lucas、mike、Mr.None、noK4zG7ZhOf、o6jdigq、o8yTi52T、OgJb6GqgK0O、PgfV1X、pWOuqdTDQ、PxmdUOpVyx、QfofoG、QmIS5df7u、QORxJKNk、qZo9A、S7Wjuf、sal.rosenburg、Steve、TVM、txWas1m2t、umyUJ、Uox1tzaMO、vzY4jmH0Jw02、XMiMmcKziitD、xPLyvzr8sgC、ykj0egq7fze、DdQrgc、ryjIJKIrOMs、nZAp7UBVaS1、zOEsT、xUnUy、fNBDSlDTXY、gu17B、UiQcX、21zLucUnfI85、OZFUCOD6、8LnfAai9QdJR、5sIBK、rB5BnfuR2、GexwjQdjXG、IZZuXj、ymONofg、dxd8DJ7c、JAW4Dz0、GJAm1NxXVm、UspG1y1C、equZE3J、BXw7q、lubi53aN14cU、5Y3y73、9yjCPsEYIMH、GGw8NR、JcOtj17dZx、05KvAUQKPQ、64F2tKIqO5、7DBgdxu、uHUQIuwoEFU、gL50ksOp、Of20XqH4VL、tHiF2T、dx、jz、WALKER
类<>c
Program.addstartupnonadmin()方法
Program.GreenToast()方法
Program.Yellowtoast()方法
Program.TheFR{49}() 方法
AppData
Local Storageleveldb
Roaming v+ discord
Roaming v+ discordptb
Roaming v+ discordcanary
Roaming v+ discorddevelopment
Roaming v+ Opera Software Opera Stable
Roaming v+ Opera Software Opera GX Stable
LocalAmigoUser Data
LocalTorchUser Data
LocalKometaUser Data
LocalGoogleChromeUser DataDefault
LocalOrbitumUser Data
LocalCentBrowserUser Data
Local7Star7StarUser Data
LocalSputnikSputnikUser Data
LocalVivaldiUser DataDefault
LocalGoogleChrome SxSUser Data
LocalEpic Privacy BrowserUser Data
LocaluCozMediaUranUser DataDefault
LocalMicrosoftEdgeUser DataDefault
LocalYandexYandexBrowserUser DataDefault
LocalOpera SoftwareOpera NeonUser DataDefault
LocalBraveSoftwareBrave-BrowserUser DataDefault
TheFrrMonster.GrabTokens方法
Program.FRFRFRFRFRF() 方法
6.embed_name: 发送到 Discord 的消息中嵌入的名称。
7.embed_icon: 发送到 Discord 的消息中嵌入的图标的 URL。
8.embed_color: 发送到 Discord 的消息中嵌入的颜色。
9.injection_url: Discord 注入脚本的 URL。
10.api: Discord 用户信息 API 的 URL。
11.nitro: 包含 Nitro 订阅计划的对象。
12.boost: 包含 Nitro Boost 订阅计划。
13.year: 年订阅计划的详细信息。
14.month: 月订阅计划的详细信息。
15.classic: 包含经典 Nitro 订阅计划。
16.filter: 包含需要过滤的 URL 列表,用于监听 Discord API 请求。
17.filter2: 包含需要过滤的第二个 URL 列表,用于监听其他 Discord 相关请求。
const config = {
webhook: 'hxxps://discord[.]com/api/webhooks/1095580593544237088/P6vEnIM_dngrti7YjsQG7J5vsRaMY6EFlxxj-kMLNU-6Hnb1d4PHjrHUDlAsLXtBJHew',
webhook_protector_key: '%WEBHOOK_KEY%',
auto_buy_nitro: false,
ping_on_run: false,
ping_val: '@everyone',
embed_name: 'Fr injection',
embed_icon: 'hxxps://cdn.discordapp[.]com/attachments/1077267633365340172/1094133346788970556/582387.png',
embed_color: 0,
injection_url: 'hxxps://raw.githubusercontent[.]com/Anthemiaa/fr/main/clean.js',
api: 'https://discord.com/api/v9/users/@me',
nitro: {
boost: {
year: {
id: '521847234246082599',
sku: '511651885459963904',
price: '9999',
},
month: {
id: '521847234246082599',
sku: '511651880837840896',
price: '999',
},
},
classic: {
month: {
id: '521846918637420545',
sku: '511651871736201216',
price: '499',
},
},
},
filter: {
urls: [
'https://discord.com/api/v*/users/@me',
'https://discordapp.com/api/v*/users/@me',
'https://*.discord.com/api/v*/users/@me',
'https://discordapp.com/api/v*/auth/login',
'https://discord.com/api/v*/auth/login',
'https://*.discord.com/api/v*/auth/login', 'https://api.braintreegateway.com/merchants/49pp2rp4phym7387/client_api/v*/payment_methods/paypal_accounts',
'https://api.stripe.com/v*/tokens',
'https://api.stripe.com/v*/setup_intents/*/confirm',
'https://api.stripe.com/v*/payment_intents/*/confirm',
],
},
filter2: {
urls: [
'https://status.discord.com/api/v*/scheduled-maintenances/upcoming.json',
'https://*.discord.com/api/v*/applications/detectable',
'https://discord.com/api/v*/applications/detectable',
'https://*.discord.com/api/v*/users/@me/library',
'https://discord.com/api/v*/users/@me/library',
'wss://remote-auth-gateway.discord.gg/*',
],
},
};
LoadDll
三
PasswordStealer.dll
基本信息
PasswordStealer分析
Stealer.run()方法
Username(用户名,username_value)、Password(密码,password_value),其逻辑与Browser-password-stealer类似,针对基于 chromium 的浏览器。
IOCs
ef4265e61daa8c0c8db8d40744196b11
hxxps://raw.githubusercontent[.]com/Anthemiaa/fr/master
看雪ID:megaparsec
https://bbs.kanxue.com/user-home-917207.htm
# 往期推荐
2、在Windows平台使用VS2022的MSVC编译LLVM16
3、神挡杀神——揭开世界第一手游保护nProtect的神秘面纱
球分享
球点赞
球在看
点击阅读原文查看更多
原文始发于微信公众号(看雪学苑):Discord Stealer样本分析