D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Всех приветствую!
Первая часть
Вторая часть
Мы научились оформлять социалки, а также рассмотрели несколько способов трафика.
Но все это не имеет смысла если не подготовлена техническая часть.
Что в идеале необходимо для успешной атаки:
- 2 стиллера на Windows
- 2 стиллера на Mac
- дрейнер
- фишинг аппаратных кошельков по типу Ledger, Trezor
- фишинг расширений по типу MetaMask, TrustWallet
- android-бот
- имплементация анти-брут системы на лендинге
- hvnc
Зачем нам такой широкий арсенал, спросите вы?
Вы не знаете как будет развиваться атака.
Больший арсенал - более легитно подобранная тактика, больше места для маневра, снижение рисков.
Например:
2 стиллера на Windows позволяют снизить шанс НЕ стука, такое случается часто.
Если вы используете лаунчер, можете добавить также дополнительный стук по кнопке.
Рекомендую использовать нативные стиллеры, т. к. нет зависимости от .NET Framework, что является преимуществом.
Но если вы используете META / REDLINE можете добавить в лаунчер оповещение + инструкцию, функцию подгрузки, как в играх.
Если работаете без лаунчера для удобства положите в архив нужные распространяемые пакеты к вашему софту, т. к. любые дополнительные действия со стороны мамонта его нервируют и снижают шанс того, что он дойдет до отстука.
Из нативных стиллеров могу порекомендовать stealc НЕ РЕКЛАМА.
Панель на вашей стороне + не был замечен в краже логов.
Если у вас нет возможности работать с лаунчером и двумя софтами отдайте предпочтение нативному.
На Mac ситуация идентична, но к сожалению в адвертинге запуск на Mac РАЗИТЕЛЬНО отличается от запуска на Windows.
Если вы имели опыт завода на Mac, то понимаете, что добраться до отстука это тот еще квест!
Здесь вам нужно буквально за ручку провести мамонта по каждому этапу.
Современные стиллеры по типу Realst и AMOS имеют довольно удобную систему подсказок при запуске, но это больше подходит для массового трафика.
Когда же вы работаете с таргетом - сопровождаем!
Готовим ОБЯЗАТЕЛЬНО:
- видеопревью запуска (если у вас есть лаунчер, если нет монтируем + в идеале демонстрацию запуска самой игры / того что у вас по легенде, это добавляет значительного траста)
- детальную инструкцию по запуску на каждом этапе в виде текста, можно прогнать и сделать более лаконичной через ChatGPT, стилизовать графически под проект, либо мимикрировать под TestFlight (как один из вариантов отработки возражений на данном этапе, поэтому неплохо заиметь такую инструкцию, удобно сделать на Notion)
Что выберу я между Realst и AMOS:
Я выберу оба. Так как есть шанс НЕ стука у обоих, как я думаю.
У меня были случаи, когда не стучал AMOS, но стучал Realst и это спасало.
У меня не было случаев когда не стучал Realst НО все может быть!
Остальные рекомендовать не могу, так как они присутствуют на рынке мало времени. Все дешевые решения которые ставят цену ниже чем у конкурентов тырили логи, поэтому смотрите сами.
Что обязательно нужно добавить к стиллерам?
К сожалению, далеко не у всех есть фишинг аппаратных кошельков, но признаемся сами себе - они стали очень популярные и встречаются все чаще и чаще!
Некачественный фишинг лучше чем отсутствие фишинга. На Mac есть фишинг от Realst. На Windows можно сделать и самим, можно заказать / выбрать среди готовых, тут проще.
Если у вас нет фишинга / фиш не собрал Seed по каким-то причинам (не повелся).
ОБЯЗАТЕЛЬНО изучаем:
- ломимся в почту
- ломимся в клиенты Telegram и т. п.
- во все что может быть на ПК
Часто Seed может лежать в избранном, в облаке на фотке, в TXT и т. п., часто на рабочем столе.
Люди делают фото с карточкой Seed минуя инструкцию где сказано не делать фото (автоматическая синхронизация здесь наш друг), делают скриншот MetaMask и закидывают в телегу! Обязательно заглянуть в черновики на почте!
Альтернативой которая работает без фишинга является ДРЕЙНЕР, так как им можно снимать аппаратки!
НО чтобы это сделать вам также понадобится качественная инструкция.
Это либо текст (самый простой и малоэффективный вариант), либо небольшая анимация на лендинге (идеально), которая показывает и стимулирует нажатие кнопки, т. к. чтобы снять с аппаратки нужно дать Approve физически!
Как замотивировать пассажира дать его?
Все зависит от типа траффика, если это массовый, например, TikTok, в идеале показать весь процесс ОТ и ДО.
То есть показать, например, ваш фейк -> коннект -> физический Approve!
БОНУС:
Палю способ трафика!
Способ заключается в доставке NFT нашим таргетам, т. е. мы чеканим NFT и отправляем на адрес клиента.
В каком блокчейне чеканить? Я советую чеканить в Polygon, т. к. комиссии околонулевые.
Это совместимый с Ethereum блокчейн поэтому никаких проблем в доставке нет, отправляем на ETH-адрес.
Для вашего удобства вы можете проделать все через OpenSea, например, если работаете руками и нет автоматизации и / или не умеете работать с блокчейном и деплоить свои контракты,
- создаем MetaMask
- коннектим к OpenSea
- заходим в раздел Create
- Заполняем нужные поля по легенде и чеканим
- Описание и External link используем чтобы увести на лендинг (дублируйте домен), я обычно прячу домен только в креативе (Drag and drop media)
Для чеканки можете закинуть пару баксов + комиссию за своп сети на полигон.
По количеству можете не стесняться, чеканка получается условно-бесплатная.
Когда вы отправите ваши NFT мамонтам они увидят их на кошельке следующим образом, например, если у мамонта Trust Wallet:
Поэтому здесь чтобы не лутать бомжей обязательно сделайте на лендинге инструкцию / анимацию по работе с Ledger, Trezor, так как это значительно повысит вашу конверсию! Все самые жирные логи всегда аппаратки!
Если мамонт не хочет качать / спрашивает нужно ли что-то качать? Ведите на дрейн!
Не хочет коннектить - пусть качает!
Если нет доступа к ПК (мамонт в отпуске, ПК действительно нет, либо он не хранит крипту на ПК) - как раз тут нам помогает android-бот, в исключительных случаях это использовать можно НО я советую избегать, т. к. работают они также как и Mac стиллеры через одно место, либо это просто инжект с фишингом в 99%, так еще и не качественным.
Что касается фишинга Trust Wallet / MetaMask - лучше иметь возможность хотя бы быстро поднять, т. к. лично у меня был лог, когда пришлось импортировать с телефона на ПК, так как в моем арсенале на тот момент был только стиллер. Если жертва здесь уже пошла на импорт, то это огромный флаг что ЛУЧШЕ заводить на ФИШ, чем импортировать и пытаться завести на стиллер! У меня возможности поднять фиш оперативно не было, крипт был плохим, в результате потеря огромного лога. Поэтому учимся на моем горьком опыте и не повторяем, действуем избирательно и по ситуации включая голову, анализируйте жертву и выбирайте лучший способ.
Варианты анти-брута:
На практике это просто форма регистрации / создания учетной записи на лендинге, либо в лаунчере.
Я рекомендую делать это на лендинге, т. к. есть шанс детекта в ходе работы лаунчера, к этому времени стиллер (если он поддерживает такую опцию) может успеть что-то собрать, например MetaMask, но не успеть пароли, либо они не подходят или их нет, битый лог и другие сценарии. Здесь хотя бы 1 пароль вытянутый через лендинг может подойти либо дать шанс на брут, т. к. можно будет собрать маски / правила и хотя бы от чего-то отталкиваться!
Использованием HVNC также значительно снизило количество брутов, можно нагружать кейлоггер, выводить биржу, добавлять исключения, закрепляться в системе, часто случалось так что мамонт пересоздавал кошелек после снятия, но не знал о закреплении в системе, либо вообще не пересоздавал кошелек и средства уходят на автовыводе, поэтому ставим обязательно!
БОНУС (отработка возражений) + трюк с SandBoxie:
1. К большому сожалению, мне во всех моих логах на Windows крипт не спасал и почти всегда я ловил алерты WD / АВ, поэтому будьте готовы применять свою СИ на полную катушку. Никогда не вставайте в оправдательную позицию! Никогда! Вы только закопаете себя. Если случился детект, не бойтесь - просто спросите какой используется антивирус, попросите прислать скриншот, так вы захватываете инициативу и выступаете первым номером в диалоге и сможете давить свою линию! Оправдываться перед вами будет уже ваш лохматый. Поэтому после его ответа - убедительно утверждаем о том, что это ложное срабатывание, можете добавить немного удивления и сказать, что условный Avast постоянно реагирует на нашу защиту (здесь вы можете приплести защиту от пиратства, обратной разработки).
Если это не помогает - разыгрываем уже более тщательный спектакль, где выдаем аргументы, т. к. мамонт должен сам сделать анализ и сам прийти к выводу что софт безопасен, т. е. нужно будет конкретно указать, например, на алгоритм шифрования который может вызывать срабатывание, начать атаковать лохматого вдвоем (например ваш друг или вы со второго аккаунта в качестве агента поддержи, неплохо будет если на лендинге есть такая опция, либо есть система тикетов в Discord, как вариант если мамонт категоричен - не проталкивайте, пусть оставит тикет, подготовьте рекрипт).
Если изначально жертва не хочет что-то загружать / посещать сайт, можете смело кидать в лицо ссылку на анализ от VirusTotal, только конечно не вашего билда, а самого лендинга, он не умеет палить дрейнеры и другую полезную нагрузку на вашем сайте и покажет что все чисто. Лаконичные и красивые ответы вам поможет создать ChatGPT. Если вам потребуется понятная и лаконичная инструкция по добавлению в исключения / отключению защиты - также запросите ChatGPT, он сможет быстро найти актуальную инструкцию, дать простой и понятный ответ, нежели вы будете верстать в переводчике.
Между отключением и исключением - выбирайте исключение. Так как отключение защиты для мамонтов, как показал практика, выглядит как кнопка самоуничтожения.
Трюк:
Если у вас есть выход из SandBoxie (крипт умеет) либо сам стиллер может, то особо осторожных мамонтов можно разводить на это и уверенно сказать, если вы боитесь - запустите в песочнице! Это работает и принесло много логов. В качестве песочницы я имею ввиду Sandboxie Classic и Plus, они сейчас успешно обходятся большинством стиллеров, крипторы также умеют делать выпрыгивание. Используйте в качестве отработки! Всегда используйте весь арсенал отработки, добивайтесь запуска на основной машине: если нет кошелька в логе, скажите, что система старая, может быть у вас есть более современный компьютер и т.п., я лично видел пример как человек перепрыгнул на 3 тачках, и на 4 тачке запускал не из под админа, в итоге его уговорили запустить в песке!
Желаю вам побольше проходимости, никаких алертов и детектов, жирных профитов!
Специально для XSS.is от Албанца!
Если нужно что-то разобрать, пишите, рассмотрим подробнее.
Первая часть
Вторая часть
Мы научились оформлять социалки, а также рассмотрели несколько способов трафика.
Но все это не имеет смысла если не подготовлена техническая часть.
Что в идеале необходимо для успешной атаки:
- 2 стиллера на Windows
- 2 стиллера на Mac
- дрейнер
- фишинг аппаратных кошельков по типу Ledger, Trezor
- фишинг расширений по типу MetaMask, TrustWallet
- android-бот
- имплементация анти-брут системы на лендинге
- hvnc
Зачем нам такой широкий арсенал, спросите вы?
Вы не знаете как будет развиваться атака.
Больший арсенал - более легитно подобранная тактика, больше места для маневра, снижение рисков.
Например:
2 стиллера на Windows позволяют снизить шанс НЕ стука, такое случается часто.
Если вы используете лаунчер, можете добавить также дополнительный стук по кнопке.
Рекомендую использовать нативные стиллеры, т. к. нет зависимости от .NET Framework, что является преимуществом.
Но если вы используете META / REDLINE можете добавить в лаунчер оповещение + инструкцию, функцию подгрузки, как в играх.
Если работаете без лаунчера для удобства положите в архив нужные распространяемые пакеты к вашему софту, т. к. любые дополнительные действия со стороны мамонта его нервируют и снижают шанс того, что он дойдет до отстука.
Из нативных стиллеров могу порекомендовать stealc НЕ РЕКЛАМА.
Панель на вашей стороне + не был замечен в краже логов.
Если у вас нет возможности работать с лаунчером и двумя софтами отдайте предпочтение нативному.
На Mac ситуация идентична, но к сожалению в адвертинге запуск на Mac РАЗИТЕЛЬНО отличается от запуска на Windows.
Если вы имели опыт завода на Mac, то понимаете, что добраться до отстука это тот еще квест!
Здесь вам нужно буквально за ручку провести мамонта по каждому этапу.
Современные стиллеры по типу Realst и AMOS имеют довольно удобную систему подсказок при запуске, но это больше подходит для массового трафика.
Когда же вы работаете с таргетом - сопровождаем!
Готовим ОБЯЗАТЕЛЬНО:
- видеопревью запуска (если у вас есть лаунчер, если нет монтируем + в идеале демонстрацию запуска самой игры / того что у вас по легенде, это добавляет значительного траста)
- детальную инструкцию по запуску на каждом этапе в виде текста, можно прогнать и сделать более лаконичной через ChatGPT, стилизовать графически под проект, либо мимикрировать под TestFlight (как один из вариантов отработки возражений на данном этапе, поэтому неплохо заиметь такую инструкцию, удобно сделать на Notion)
Что выберу я между Realst и AMOS:
Я выберу оба. Так как есть шанс НЕ стука у обоих, как я думаю.
У меня были случаи, когда не стучал AMOS, но стучал Realst и это спасало.
У меня не было случаев когда не стучал Realst НО все может быть!
Остальные рекомендовать не могу, так как они присутствуют на рынке мало времени. Все дешевые решения которые ставят цену ниже чем у конкурентов тырили логи, поэтому смотрите сами.
Что обязательно нужно добавить к стиллерам?
К сожалению, далеко не у всех есть фишинг аппаратных кошельков, но признаемся сами себе - они стали очень популярные и встречаются все чаще и чаще!
Некачественный фишинг лучше чем отсутствие фишинга. На Mac есть фишинг от Realst. На Windows можно сделать и самим, можно заказать / выбрать среди готовых, тут проще.
Если у вас нет фишинга / фиш не собрал Seed по каким-то причинам (не повелся).
ОБЯЗАТЕЛЬНО изучаем:
- ломимся в почту
- ломимся в клиенты Telegram и т. п.
- во все что может быть на ПК
Часто Seed может лежать в избранном, в облаке на фотке, в TXT и т. п., часто на рабочем столе.
Люди делают фото с карточкой Seed минуя инструкцию где сказано не делать фото (автоматическая синхронизация здесь наш друг), делают скриншот MetaMask и закидывают в телегу! Обязательно заглянуть в черновики на почте!
Альтернативой которая работает без фишинга является ДРЕЙНЕР, так как им можно снимать аппаратки!
НО чтобы это сделать вам также понадобится качественная инструкция.
Это либо текст (самый простой и малоэффективный вариант), либо небольшая анимация на лендинге (идеально), которая показывает и стимулирует нажатие кнопки, т. к. чтобы снять с аппаратки нужно дать Approve физически!
Как замотивировать пассажира дать его?
Все зависит от типа траффика, если это массовый, например, TikTok, в идеале показать весь процесс ОТ и ДО.
То есть показать, например, ваш фейк -> коннект -> физический Approve!
БОНУС:
Палю способ трафика!
Способ заключается в доставке NFT нашим таргетам, т. е. мы чеканим NFT и отправляем на адрес клиента.
В каком блокчейне чеканить? Я советую чеканить в Polygon, т. к. комиссии околонулевые.
Это совместимый с Ethereum блокчейн поэтому никаких проблем в доставке нет, отправляем на ETH-адрес.
Для вашего удобства вы можете проделать все через OpenSea, например, если работаете руками и нет автоматизации и / или не умеете работать с блокчейном и деплоить свои контракты,
- создаем MetaMask
- коннектим к OpenSea
- заходим в раздел Create
- Заполняем нужные поля по легенде и чеканим
- Описание и External link используем чтобы увести на лендинг (дублируйте домен), я обычно прячу домен только в креативе (Drag and drop media)
Для чеканки можете закинуть пару баксов + комиссию за своп сети на полигон.
По количеству можете не стесняться, чеканка получается условно-бесплатная.
Когда вы отправите ваши NFT мамонтам они увидят их на кошельке следующим образом, например, если у мамонта Trust Wallet:
Поэтому здесь чтобы не лутать бомжей обязательно сделайте на лендинге инструкцию / анимацию по работе с Ledger, Trezor, так как это значительно повысит вашу конверсию! Все самые жирные логи всегда аппаратки!
Если мамонт не хочет качать / спрашивает нужно ли что-то качать? Ведите на дрейн!
Не хочет коннектить - пусть качает!
Если нет доступа к ПК (мамонт в отпуске, ПК действительно нет, либо он не хранит крипту на ПК) - как раз тут нам помогает android-бот, в исключительных случаях это использовать можно НО я советую избегать, т. к. работают они также как и Mac стиллеры через одно место, либо это просто инжект с фишингом в 99%, так еще и не качественным.
Что касается фишинга Trust Wallet / MetaMask - лучше иметь возможность хотя бы быстро поднять, т. к. лично у меня был лог, когда пришлось импортировать с телефона на ПК, так как в моем арсенале на тот момент был только стиллер. Если жертва здесь уже пошла на импорт, то это огромный флаг что ЛУЧШЕ заводить на ФИШ, чем импортировать и пытаться завести на стиллер! У меня возможности поднять фиш оперативно не было, крипт был плохим, в результате потеря огромного лога. Поэтому учимся на моем горьком опыте и не повторяем, действуем избирательно и по ситуации включая голову, анализируйте жертву и выбирайте лучший способ.
Варианты анти-брута:
На практике это просто форма регистрации / создания учетной записи на лендинге, либо в лаунчере.
Я рекомендую делать это на лендинге, т. к. есть шанс детекта в ходе работы лаунчера, к этому времени стиллер (если он поддерживает такую опцию) может успеть что-то собрать, например MetaMask, но не успеть пароли, либо они не подходят или их нет, битый лог и другие сценарии. Здесь хотя бы 1 пароль вытянутый через лендинг может подойти либо дать шанс на брут, т. к. можно будет собрать маски / правила и хотя бы от чего-то отталкиваться!
Использованием HVNC также значительно снизило количество брутов, можно нагружать кейлоггер, выводить биржу, добавлять исключения, закрепляться в системе, часто случалось так что мамонт пересоздавал кошелек после снятия, но не знал о закреплении в системе, либо вообще не пересоздавал кошелек и средства уходят на автовыводе, поэтому ставим обязательно!
БОНУС (отработка возражений) + трюк с SandBoxie:
1. К большому сожалению, мне во всех моих логах на Windows крипт не спасал и почти всегда я ловил алерты WD / АВ, поэтому будьте готовы применять свою СИ на полную катушку. Никогда не вставайте в оправдательную позицию! Никогда! Вы только закопаете себя. Если случился детект, не бойтесь - просто спросите какой используется антивирус, попросите прислать скриншот, так вы захватываете инициативу и выступаете первым номером в диалоге и сможете давить свою линию! Оправдываться перед вами будет уже ваш лохматый. Поэтому после его ответа - убедительно утверждаем о том, что это ложное срабатывание, можете добавить немного удивления и сказать, что условный Avast постоянно реагирует на нашу защиту (здесь вы можете приплести защиту от пиратства, обратной разработки).
Если это не помогает - разыгрываем уже более тщательный спектакль, где выдаем аргументы, т. к. мамонт должен сам сделать анализ и сам прийти к выводу что софт безопасен, т. е. нужно будет конкретно указать, например, на алгоритм шифрования который может вызывать срабатывание, начать атаковать лохматого вдвоем (например ваш друг или вы со второго аккаунта в качестве агента поддержи, неплохо будет если на лендинге есть такая опция, либо есть система тикетов в Discord, как вариант если мамонт категоричен - не проталкивайте, пусть оставит тикет, подготовьте рекрипт).
Если изначально жертва не хочет что-то загружать / посещать сайт, можете смело кидать в лицо ссылку на анализ от VirusTotal, только конечно не вашего билда, а самого лендинга, он не умеет палить дрейнеры и другую полезную нагрузку на вашем сайте и покажет что все чисто. Лаконичные и красивые ответы вам поможет создать ChatGPT. Если вам потребуется понятная и лаконичная инструкция по добавлению в исключения / отключению защиты - также запросите ChatGPT, он сможет быстро найти актуальную инструкцию, дать простой и понятный ответ, нежели вы будете верстать в переводчике.
Между отключением и исключением - выбирайте исключение. Так как отключение защиты для мамонтов, как показал практика, выглядит как кнопка самоуничтожения.
Трюк:
Если у вас есть выход из SandBoxie (крипт умеет) либо сам стиллер может, то особо осторожных мамонтов можно разводить на это и уверенно сказать, если вы боитесь - запустите в песочнице! Это работает и принесло много логов. В качестве песочницы я имею ввиду Sandboxie Classic и Plus, они сейчас успешно обходятся большинством стиллеров, крипторы также умеют делать выпрыгивание. Используйте в качестве отработки! Всегда используйте весь арсенал отработки, добивайтесь запуска на основной машине: если нет кошелька в логе, скажите, что система старая, может быть у вас есть более современный компьютер и т.п., я лично видел пример как человек перепрыгнул на 3 тачках, и на 4 тачке запускал не из под админа, в итоге его уговорили запустить в песке!
Желаю вам побольше проходимости, никаких алертов и детектов, жирных профитов!
Специально для XSS.is от Албанца!
Если нужно что-то разобрать, пишите, рассмотрим подробнее.