!! Oportunidad de Colaboración: ¡Gana Dinero Promocionando Nuestra Tienda de Claves de Juegos! ¡¡
Estimado, Nos gustaría ofrecerte la oportunidad de asociarte con nosotros como promotor/a de nuestra tienda en línea. En esencia, te estaríamos ofreciendo una compensación financiera a cambio de tu promoción activa de nuestros productos. Para obtener más detalles sobre esta emocionante oportunidad de colaboración y conocer los términos específicos de compensación, te adjunto un archivo PDF que contiene un plan detallado. ¡No dudes en contactarnos! Esperamos con interés poder trabajar contigo y llevar nuestra asociación al siguiente nivel. Saludos cordiales,
Patricio Juan Perez Perez Gerente de Marketing KeysGamer [email protected] Teléfono: +984356073
- Disclaimer!: Esto NO ES un virus real, solo se asemeja a uno por su dificultad de entendimiento.
- Hint!: A windows no le gusta visual basic script.
En general hay que des-ofuscar varias veces los archivos .vbs y .ps1 que se descargan de internet. Puede ser manualmente, pero es muy engorroso, lo mejor es entender qué está pasando, para quedarse solo con las variables que almacenan strings para despues imprimirlas en consola. Primero se des-ofusca un visual basic script, que apunta a la url https://pastebin.pl/view/raw/3b56f95d. este segundo .vbs se des-ofusca para obtener un powershell, este se des-ofusca para obtener un segundo powershell, el loader del malware. Para evitar predecir el patrón del loader hay una funcion que aleatoriamente descarga un recurso, que contiene entre banderas BASE64START-BASE64END el payload en base64. En este caso la flag está dividida entre las tres imágenes, en orden: https://pastebin.com/raw/gtZXw8iz, https://pastebin.com/raw/dMtBy5B0, https://pastebin.com/raw/BHGR7Vgc.