Adobe Photoshop 2024 Dropper & T*rojan in Aktivierung
 

Servus,

ich bin mir nicht sicher, wo es gepostet werden sollte und entschuldige mich, falls falsch, allerdings habe ich heute bemerkt, dass bei der Nutzung von folgendem (und auch einige andere des selben Mitglieds) ein D*ropper geladen wird, welcher u.a. einen R*AT ausführt, welcher zu einer IP in Frankreich verbindet.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Ebenso führt die Aktivierung (AdobeGenP.exe) folgenden Powershell code (B*ase64 encoded und File obfuscated) aus.

Add-MpPreference -ExclusionPath @($env:UserProfile,$env:SystemDrive) -Force

Der R*at tarnt sich kurzfristig unter \AppData\Local\Wbnuonp.exe, welches dann einen Zufallsnamen nutzt und in %appdata% mit Autostart hinterlegt wird.

Die Datei wird getarnt als "Google Chrome".

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Der T*rojaner selbst verbindet zu folgender IP

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]


Falls der Post unerwünscht, bitte löschen

Hi.
1. Wenn etwas verdächtig ist, den Meldebutton klicken, vernünftige Erklärung dabei, reicht. Wir kümmern uns dann.
2. Bitte lesen:
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
3. Ich werde nun den Uploader anschreiben.

Edit:
Der Uploader hat sich gemeldet.
Ich warte auf weitere Rückmeldung.

Ich habe den Patch GenP v3.2.1 auf Viren getestet und dort ist nichts aufgefallen.
Nun habe ich diesen Patch nochmal in einer VM getestet.

Wenn du den Patch startest, hast du ja verschiedene Optionen.
Vermutlich hast du dabei auch die Option "Pop-Up" angeklickt.

Diese ist allerdings für die Adobe Photoshop Version völlig uninteressant.
Wenn man den Patch richtig anwendet läuft Photoshop auch ohne den Button "Pop-Up" anzuwählen.
Der "Pop-Up" Button ist außschließlich für die "Substance" -Versionen von Adobe gedacht
und nimmt Einträge in die Firewall vor.
Deshalb bekommst du diese Meldungen.

Ansonsten, wie immer.
Wenn du zu dem Patch kein Vertrauen hast, benutze ihn nicht. Dann kannst du aber auch nichts freischalten.

Und grundsätzlich zu allen Angeboten:
Wenn es nicht genau dabei steht, beim Installieren und Benutzen von Angeboten mit crack, Patch oder was auch immer:
Internet trennen!!!


Gruß, sven.O

Servus Sven, deswegen habe ich die any.run links zugesendet, damit es selbst in der vm angeguckt werden kann.

Ich habe es auf zwei physischen Systemen getestet und bei beiden ist das der Fall.

Add-MpPreference -ExclusionPath @($env:UserProfile,$env:SystemDrive) -Force

und das sieht definitiv nicht aus, als würde es nur Firewall-Attribute hinzufügen ;-)

Ich kann dir auch gerne die gedroppten Files zusenden, damit du es selbst analysieren kannst.



Edit: komischerweise wird .run als censored word erkannt.

Ich kann das obere nicht mehr bearbeiten.
Anbei noch eine Datei die danach noch gedroppt wurde. Man achte auf Connections.

Eventuell ist es auch ein Fake-Lizenzserver, allerdings etwas merkwürdig.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] .any. run/tasks/be310c71-d838-4dba-a458-760140ab315f/
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Dir sollt schon klar sein das die Software Unternehmen was dagegen haben wenn sich die User mit nem Patch, KeyGen oder dll-Crack einfach so die Software freischalten können.

Also was machen solche Softwarehäuser (Unternehmen A)!? Gehen zu Software Unternehmen B, C, D (AntiVirus-Software) und bezahlen diese damit die Cracks, Patch, KeyGens usw. als böses Hacker-tool, Rootkit, Virus, Würmer oder weiß der Geier ekannt werden.


Gruß, sven.O