Counter-Strike

Robo de items por Keylogger o similar

GH05TM44N
GH05TM44N #31 Oct '15

Gracias por toda la info que dais y el tiempo que os tomais en ayudarme, espero poder contactar pronto con steam y encontrar alguna solucion al problema o que congelen los items para que no los muevan de cuenta...

El supuesto scammer parece que se va cambiando la url de steam y a veces te redirecciona a otra

antigua: http://steamcommunity.com/id/marack1ng
actual: http://steamcommunity.com/id/marak0ff

Si podeis añadir en el report:

This user has stolen the items from this account by using any type of hack: http://steamcommunity.com/id/acollapseworld

Os lo agradezco mucho...

2 respuestas
brul_shuffle
brul_shuffle #32 Oct '15

#31

pon el enlace con la steamid que esa no la puede cambiar

http://steamcommunity.com/profiles/76561198000265715

2
B
[Borrado] #33 Oct '15

Pero como has caído en algo así? Suerte con tus items.

Y para el hacker hay que reconocer que a jugado bien.

1 respuesta
S
sendoh7 #34 Oct '15

Yo no se si Steam te va a ayudar o no, pero por si acaso lo he reportado, espero que sirva de algo.

Un saludo y suerte!

PD: En serio es profesional?

GH05TM44N
GH05TM44N #35 Oct '15

#33 Sin querer, abrí un archivo rar de una "supuesta cfg" en la que habian archivos

config.cfg
autoexec.cfg
mousefix.exe

Hice missclick (sin querer) en el mousefix.exe y se ejecutó algo, revisé los procesos de windows y no vi nada raro (a mi parecer) y posteriormente no pasó nada, hasta que al cabo de unas 3-4 horas me ausenté del pc y al volver a los 5-10 minutos ví una ventana abierta de trade con la oferta aceptada...

Como ya dije arriba, pusieron un bot fake en un streaming, y andaba apurado por alguna cfg y me metí en el canal de éste tío buscando algunos comandos como rates y de paso para mirar su config de FPS, y resulta que sin descomprimir nada del rar se ejecutó dicho "malware" y me ha jodido bien, yo siempre he sido precavido y tenido mucho cuidado pero he caido sin darme cuenta y como no tenía tampoco el email de trade para confirmar pues... eso.

De todas maneras, si pudo entrar en mi pc con abrir mi correo también podría haberlo logrado el trade...

1 respuesta
redox
redox #36 Oct '15

ahi tienes report desde 5 cuentas más.

PD: no son mias, sólo 2 de ellas.

AlexGc
AlexGc #37 Oct '15

Reportadito

mopozw
mopozw #38 Oct '15

#1 Reportadito, pero no esperes mucho, el soporte de valve es shit..

AikonCWD
AikonCWD #39 Oct '15 Git Gud

#35 Estoy analizando el ejecutable. Efectivamente es un virus. Escrito en Borland. Hace un drop de un fichero en VBS, voy a ver si puedo rescatarlo, fijo que el capullo ha puesto algún server de noip para mandar los datos o quizás su e-mail...

Te digo algo.

8 2 respuestas
Wyrm
Wyrm #40 Oct '15

Me paso algo parecido en casa de un amigo y si, el "hacker" se conecta remotamente a tu equipo. Yo por suerte estaba adormecido mirando una serie en su pc, y el hdp quito la pantalla completa y fue al inventario directo. Ahi desperte a mi amigo y partiendome el pecho por la situacion procedimos al correspondiente formateo xD!

RobiiVk
RobiiVk #41 Oct '15

#39 La mierda esa no lo detecta el antivirus?

1 respuesta
AikonCWD
AikonCWD #42 Oct '15 Git Gud

#41 Claro que lo detecta, 30 antivirus de 55 lo detectan.

El fichero está encriptado y tiene rutinas antidebug. Me da una pereza horrible indagar en como funciona... Utiliza la tecnica CallAPIbyName para llamar a distintas funciones y pasar inadvertido por el debugger, he podido hacer baypass a mano y conseguir arrancar el prog de forma visible:

Arriba se ve el estupendo diseño del formulario, abajo todas las strings importantes están cifradas (las strings que apuntan a la dirección IP y email del "hacker"), si encuentro la rutina que decodifica las strings la podré leer, pero por el momento no veo nada. Si alguien quiere continuar a partir de aqui ya sabe

9 2 respuestas
B
[Borrado] #43 Oct '15

#42 no entiendo nada de lo que dices pero eres el puto amo. Ya me podrías estar metiendo la mayor trola que me lo creería jaja.
Sigue así y a joder a esa gentuza que no tiene nada más que hacer que joder a otra personas, me toca muchos los huevos y mira que no tengo una mierda de skins.

1 1 respuesta
P0TEN
P0TEN #44 Oct '15

Reportado también! A mi me hace tiempo me quitaron y a través del soporte de los tickets de steam me devolvieron los item ( Yo tenia una mierda a comparacion de lo tuyo, pero algo es algo )

Kivo
Kivo #45 Oct '15

#17 te doy RT desde mi cuenta personal. Mucha suerte y ya nos contarás!

#42 a mi me intentaron hackear el steam y el gmail, gracias a dios el gmail no pudieron hacerlo y ahí quedo todo. Gmail te envia un correo con la localización, navegador e IP del individuo. Con eso no puedo joderle de alguna manera?

1 respuesta
AikonCWD
AikonCWD #46 Oct '15 Git Gud

#45 Con esos datos, el 99% de las veces no podrás hacer nada. Salvo denunciar. Si no se ha cometido ningún delito con altos costes o robo de información sensible, la denuncia no llegará a nada.

#43 No voy a meterme con el análisis para la función de las strings codificadas. Como mucho dedicaré unos minutos a ver si en la sandbox forense detecto alguna conexión saliente o entrante y poco más... Saludos

#31 La proxima vez ponte un AV, te hubieses ahorrado el disgusto. Por cierto, has formateado el PC?

AikonCWD
AikonCWD #47 Oct '15 Git Gud

Perdón el doble-post, retomo el analisis forense de #42

He podido sacar unas cuantas strings, el ejecutable mousefix crea una copia de si mismo en la carpeta Roaming del perfil del usuario actual, luego dropea un loader escrito en VBS con nombre "Internet Security.vbs". Dicho loader queda escrito en el startup del sistema, así cada vez que enciendes el PC se ejecuta la copia del mousefix

He seguido la traza del ejecutable, tras hacer bypass a las funciones ZwTerminateProcess he podido llegar hasta el Main(), ahí el ejecutable se queda en memoria con el proceso iesecure.exe

Ésta es su rutina:

Teniendo esa información, procedemos a investigar. Su IP se traduce como 109.67.141.89 = bzq-109-67-141-89.red.bezeqint.net

Tienes los datos de su ISP para mandar un mail y que le corten su conexión a internet o al menos le den un aviso xD Mira el apartado "abuse"

El servidor está en Israel, ggwp para intentar una denuncia oficial, olvidalo xD. He escaneado el servidor del hacker. Utiliza Linux y tiene Samba habilitado, tiene varios puertos abiertos. Te dejo reporte de su servidor:


Tiene un router Linksys visible desde WAN -> http://109.67.141.89:5431/
Podría mirar si existe algún remote-exploit y conseguir shell o algo en ese servidor. El resto de puestos no parece ejecutar nada vulnerable. Si me aburro, cuando esté en casa le meto armitage y mira a ver si hay suerte.

PD: La gente no tiene ni idea de lo fácil que es localizarles a través de sus virus/troyanos de mierda. Lástima que sea de lejos, si no nos hubiésemos reído un rato xD

17 8 respuestas
RobiiVk
RobiiVk #48 Oct '15

#47 La virgen.

Y si agrega al tio y le mete un poco de miedo y asi con suerte le devuelve los skins?

7 1 respuesta
AikonCWD
AikonCWD #49 Oct '15 Git Gud

#48 Desconocemos la edad y perfil del "hacker". Si es un niñato seguramente se acojone y cante, pero no cuentes con ello. Además podría ser un tio de cualquier parte del mundo (incluso español) que tenga contratado un VPS en Israel, estoy con Kali2 metiendo armitage a esa ip/servidor. A ver si puedo sacar más información, pero no se, llegados a éste punto y tratándose de un Linux/Unix con pocos servicios visibles... no creo que pueda hacer mucho más.

2 respuestas
barbarawr
barbarawr #50 Oct '15 Revienta Pencas

#49 Si yo fuese tú..

RobiiVk
RobiiVk #51 Oct '15

#49 http://www.hltv.org/?pageid=14&userid=404171
http://www.twitch.tv/maraca4g

Muy currado se lo tiene que tener ahí israel en las dos cosas

2 respuestas
privet
privet #52 Oct '15

#1 por curiosidad tu te gastaste algo en eso? Reportado.. Lo que no entiendo es por que no pueden devolvertelos

AikonCWD
AikonCWD #53 Oct '15 Git Gud

#51 Vaya, no tenia esa info (es lo que tiene no leerse el thread xD), pues parece que es de Israel, sí.

Kivo
Kivo #54 Oct '15

#1 Ya le puedes dar una Asimov a #47 si te devuelven las cosas como agradecimiento :D

AikonCWD
AikonCWD #55 Oct '15 Git Gud

#51 Tiene un seguidor en el perfil llamado darkbasic, veo actividad en su perfil, ha posteado esas 2 fotos:

https://gyazo.com/f151a0663dbb93d7345cef40c10299db
https://gyazo.com/a495e57e700af315b5169cf45af6c47c

No controlo nada de CS, eso son skins? Valen ese? precio? joder me cago en todo y yo trabajando por 4 duros xD

1 respuesta
zenerini
zenerini #56 Oct '15

sale casi mas barato ir default :/

P0TEN
P0TEN #57 Oct '15

#47 FAN!!!!! :O

1
B
[Borrado] #58 Oct '15

#47 CSI Mediavida, fan total de este tio!!

1
AikonCWD
AikonCWD #59 Oct '15 Git Gud

Armitage 30% completado, por el momento tiene el protocolo Samba configurado en modo publico:

Así que cualquiera desde el explorador de windows podemos acceder a sus recursos compartidos públicos:

VAYA NO ME LO EXPERABA.JPG

Sigo investigando e informando.... :)

6 2 respuestas
D
Domki #60 Oct '15

#59 Metete en su puto pc y le robas todos los items de csgo que tenga y que le den por el culo.

1

Usuarios habituales

  • RobiiVk
  • MartiONE
  • GH05TM44N
  • AikonCWD
  • j-n-t-h-n
  • fercalbla
  • Wyrm

Tags