站内一Stealer jar样本分析

Komeiji-Reimu

（目前并未进行动态分析）

原贴：https://bbs.kafan.cn/thread-2285196-1-1.html

一上来，映入眼帘的就是一堆混淆字符串。


为了给逆向添堵，作者使用了三种混淆方式，如图




分别是异或、blowfish、des

使用方法时，前一个参数是密文，base64解码后使用。后一个参数是秘钥，md5后使用。
des秘钥需要截取前8个字节，连“8”这个整数作者都用了混淆


有点丧心病狂。

按照作者的逻辑，把这些全部解混淆


丢给gemini筛选一下有用的信息：

1. ==================================================
   
2.       恶意软件样本解密明文字符串 (关键信息)
   
3. ==================================================
   
4. [*] 攻击目标与窃取信息
   
5. --------------------------------------------------
   
6. - \discord\Local Storage\leveldb\
   
7. - \discord\Local State
   
8. - encrypted_key
   
9. - AES/GCM/NoPadding
   
10. - \AppData\Local\RuneLite
    
11. - \RuneLite.exe
    
12. - \temp_rune_lite.exe
    
13. - Desktop
    
14. - Downloads
    
15. - Documents
    
16. - user.home
    
17. - user.name
    
18. - APPDATA
    
19. - java.io.tmpdir
    
20. 
    
21. [*] 持久化 & 潜伏手段
    
22. --------------------------------------------------
    
23. - \Microsoft\Windows\Start Menu\Programs\Startup\Spoon.jar
    
24. - \Microsoft\Windows\Start Menu\Programs\Startup\Spoon.bat
    
25. - @echo off
    
26. - start /B javaw -jar "
    
27. - 🟢 Running from Startup folder. Starting scheduled tasks...
    
28. - 🟢 Running from non-Startup location. Executing task once...
    
29. - 🚀 Executed Spoon.bat to start persistent instance from Startup folder.
    
30. 
    
31. [*] 恶意行为 & 日志
    
32. --------------------------------------------------
    
33. - \screenshot_
    
34. - .png
    
35. - \Documents\hussla_
    
36. - .zip
    
37. - .txt
    
38. - 📂 Scanning Desktop and Downloads for .txt files...
    
39. - 📤 Preparing to send screenshot:
    
40. - 📤 Sending JSON payload to ...
    
41. - 📤 Sending hussla.zip to ZIP_WEBHOOK_URL...
    
42. - ✅ Copied JAR to Startup.
    
43. - ✅ Created silent startup batch file.
    
44. - ✅ Downloaded and placed new RuneLite.exe
    
45. - ❌ Failed to download RuneLite.exe
    
46. - ❌ ZIP file size exceeds 25MB limit. Sending IP notification instead.
    
47. - ❌ RuneLite folder not found.
    
48. - POST
    
49. - GET
    
50. - User-Agent
    
51. - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
    
52. - multipart/form-data; boundary=
    
53. - Content-Disposition: form-data; name="payload_json"
    
54. - Content-Disposition: form-data; name="file"; filename="screenshot.png"

复制代码

可以看到恶意行为包括持久化、窃取Discord Token、替换RuneLite（一款游戏）的客户端主程序为image.exe等。

窃密后程序设置了定时任务，每15分钟执行一次收集+上传任务（解混淆后的代码）


更多窃密行为：

• 用Robot类截图
  

• 打包所有桌面的.txt并上传（解混淆后的代码）
  

根据原文的文字风格，推测这个程序是用llm写的。

C2：

1. - http://novite.ru/gamefiles/siketxt.php
   
2. - http://novite.ru/gamefiles/sike.php
   
3. - https://novite.ru/gamefiles/image.exe
   
4. - https://discord.com/api/webhooks/1199042531641524234/N6qL9P-i_2P3tK5jR8xY7wG4bC1A0FvE9TzS6K-dI-J_uV_hG_nQ_rE
   
5. - https://checkip.amazonaws.com

复制代码

微微的笑

卡巴扫描jar报HEUR:Trojan.Java.Agent.gen，把jar解压后不报是不是正常的，不太懂java

Loyisa

经典的superblaubeere27混淆器~ 这个有开源的反混淆工具
去混淆ver: https://loyisa.lanzoum.com/iMbPg36y1hhe

类名和方法名还原不了 交给llm来吧

Komeiji-Reimu

微微的笑 发表于 2025-9-24 17:46
卡巴扫描jar报HEUR:Trojan.Java.Agent.gen，把jar解压后不报是不是正常的，不太懂java

正常，解压之后就不可执行了