Мой лоадер с кряками, теперь все будет тут. Все удобно и все необходимые компоненты он ставит сам. ( БаффМинет бета и стейбл уже там )

И так, опять устроили клоунаду и говорят что мой лоадер это стиллер\ратник\майнер. Только вот никто не пруфанул ниразу ещё ничего... Перед тем как слушать клоунов думайте своей головой. а я буду ждать пруфы тут в коментах

Разработка пасты на алкад идет полным ходом 😈

алкад

Нас уже 500 человек 🥳🎉
Всем спасибо. Чтобы вы хотели видеть в канале? Давно заливов не было

Сейчас наткнулся на бесплатный чит от ратеда и мейза под названием Vlone: https://www.youtube.com/watch?v=aL9v7-WlbTk . Решил посмотреть, что же ребята нам слили. Открыв длл-файл в IDA, я увидел, что он был собран неким C:\Users\xeno\Desktop Xeno - это наш любимый Mayz1337 aka Estrogen. Просмотрев длл, я обнаружил интересную штучку в виде вызова UrlDownloadToFile и сразу после него вызова ShellExecuteA. При этом строки в аргументах этих функций были почему-то скрыты. К тому же этот весь фарш происходит сразу же после инициализации чита в длл-мейне (скрины будут ниже). В итоге меня заинтересовало, что же мои любимые друзья прячут в своем бесплатном чите, и я решил раскрыть все секреты мира. Путем нехитрых махинаций я узнал, что UrlDownloadToFileA качает странный Runtime Broker.exe по пути C:\\Windows\\Vss\\Runtime Broker.exe, и после успешной скачки происходит открытие этого файла через ShellExecuteA. Второй аргумент lpOperation "open" не спрятан, поэтому мы понимаем, что он открывает тот самый файл, который скачался по пути C:\\Windows\\Vss\\Runtime Broker.exe. Все это происходит, конечно же, без ведома юзера. Итак, что там у нас по файлу? Он качается с репозитория под названием 123, который создал пользователь Estrogen3 (Mayz1337). В этом же репозитории лежит Runtime Broker, загруженный 16 часов назад, и свежий lol.exe, загруженный 1 час назад. Оба файла являются билдами DCRat (удаленный доступ к ПК). Скрины SFX-архивов DCRat также приведены ниже, вместе с отчетами VirusTotal. Кстати, чит, который они залили, почему-то отличается как минимум менюшкой. Что у нас получается в итоге: нам залили не чит с медии, а говно с раткой. Если кто-то запускал это, то рекомендую просканировать свой компьютер и изменить все пароли, а также завершить все сессии в Telegram. Юзайте только проверенные читы.

UPD: на данный момент гит уже удален, незнаю удалил ли он его сам или был это отлет от репортов

261