Изначально предполагалось, что Coqui будет «банковским трояном», но из-за отсутствия навыков разработчик остановился на условном кейлоггере, который активируется только тогда, когда он обнаруживает жертву на определенных банковских сайтах.
Coqui также содержит методы антианализа, такие как Process Monitor, Process Hacker (все, что имеет Process в первой части имени, это также можно расширить, добавив дополнительные условные операторы). Если эти процессы обнаруживаются, основной кейлоггер открывается и перезаписывается, чтобы сделать анализ кейлоггера бесполезным. Кейлоггер также активируется только в том случае, если он обнаруживает окно, связанное с банковскими операциями, как только это окно выходит из фокуса (например, пользователь открывает калькулятор), кейлоггер уничтожается.
После запуска оконного монитора (ProcKill) он пытается отключить кейлоггер (используя, system(taskkill /F /T /IM keylogger.exe))если он не обнаруживает, что главное окно (окно, в котором в данный момент работает пользователь) связано с чем-либо связанным с банками.
ПРИМЕЧАНИЕ. Он сравнивает список заголовков, связанных с банками, с текущим рабочим окном, этот список можно расширить, просто добавив заголовки окон:
Текущее рабочее окно выше - это командная строка, поэтому она пытается отключить кейлоггер (в данном случае с именем svart.exe).
Теперь текущее окно выше - это сайт Wells Fargo (сша банк), поэтому запускается кейлоггер, и ProcKill проверяет, работает ли он, прежде чем запускать его снова. Если он уже запущен, он выводит «[!] Svart уже запущен!».
Если пользователь изменяет свое текущее рабочее окно и кейлоггер работает, мы можем увидеть сообщение «УСПЕШНО», указывающее, что кейлоггер был отключен из-за того, что пользователь сменил окно.
Что касается кейлоггера, он довольно прост: он извлекает зарегистрированные данные путем отправки запроса GET на указанный IP-адрес. Этот IP-адрес должен иметь сервер Apache, работающий и регистрирующий запросы GET. Файл dropper.c отвечает за кражу данных и планирует запуск каждые 12 дней для кражи данных.
Проект написан полностью на С,достаточно недавно была опубликован.
Скачать
Coqui также содержит методы антианализа, такие как Process Monitor, Process Hacker (все, что имеет Process в первой части имени, это также можно расширить, добавив дополнительные условные операторы). Если эти процессы обнаруживаются, основной кейлоггер открывается и перезаписывается, чтобы сделать анализ кейлоггера бесполезным. Кейлоггер также активируется только в том случае, если он обнаруживает окно, связанное с банковскими операциями, как только это окно выходит из фокуса (например, пользователь открывает калькулятор), кейлоггер уничтожается.
После запуска оконного монитора (ProcKill) он пытается отключить кейлоггер (используя, system(taskkill /F /T /IM keylogger.exe))если он не обнаруживает, что главное окно (окно, в котором в данный момент работает пользователь) связано с чем-либо связанным с банками.
ПРИМЕЧАНИЕ. Он сравнивает список заголовков, связанных с банками, с текущим рабочим окном, этот список можно расширить, просто добавив заголовки окон:
Текущее рабочее окно выше - это командная строка, поэтому она пытается отключить кейлоггер (в данном случае с именем svart.exe).
Теперь текущее окно выше - это сайт Wells Fargo (сша банк), поэтому запускается кейлоггер, и ProcKill проверяет, работает ли он, прежде чем запускать его снова. Если он уже запущен, он выводит «[!] Svart уже запущен!».
Если пользователь изменяет свое текущее рабочее окно и кейлоггер работает, мы можем увидеть сообщение «УСПЕШНО», указывающее, что кейлоггер был отключен из-за того, что пользователь сменил окно.
Что касается кейлоггера, он довольно прост: он извлекает зарегистрированные данные путем отправки запроса GET на указанный IP-адрес. Этот IP-адрес должен иметь сервер Apache, работающий и регистрирующий запросы GET. Файл dropper.c отвечает за кражу данных и планирует запуск каждые 12 дней для кражи данных.
Проект написан полностью на С,достаточно недавно была опубликован.
Скачать
Для просмотра содержимого вам необходимо авторизоваться.