🔥 RATLANDINIZ! 🔥 HADEVN(SkyDevs) İfşa

BlackPlague · 27 Ağu 2024

Merhaba arkadaşlar, hiç uzatmadan konuya giriş yapıyorum. Bu menüleri son zamanlarda tüm satıcılarda görmeye başlamıştık. Bizde ekip olarak ne olduğunu nereden geldiklerini kontrol etmek istedik. Yukarıda bulunan kırmızı menülü recheck olarak satılan ürünü incelemeye başladık. İncelemelerin başında ürün içeriği temiz gözükürken ardından bazı detaylar gözümüze takıldı. Önce DLL'lerini inceledik. DLL'in imzalı olduğunu farkettik. Ardından biraz daha incelemeye devam ettik ve loaderın işlemlerinde bir gariplik gördük. Loaderı dumplayıp inceledik. Inject ederken bir dosya çıkardığını ve kısa bir süre sonra hemen silindiğini farkettik. Bu dosyayı incelemeye başladık. Çıkarılan dosyanın başka bir setup adında dosyayı çalıştırıp rat yüklediğini gördük. Detaylara baktığımızda HADEVN isimli vietnamlı bir geliştiricinin bilgilerine ulaştık. Çıkarılan dosyaların hepsini virustotalde kontrol ettik ve çıkan sonuçlarda rat olduğu ve kendisine ait olduğu kesinleşti. Bizde gerekli kanıtları sizlerle paylaşarak bilgilendirmek istedik. İşlemleri recheck üzerinde yapsakta yeşil menünün de dağıtım ana noktasının SkyDevs olmasından ötürü bütün hilelerinde aynı sistemin olduğundan eminiz. Bu kadar ucuz olmasının sebebi bu olmalı. Ayrıca bu bir Crâck koruması değildir. Loaderı çalıştırıp inject eden herkeste otomatik olarak çalışan bir processtır. Test ettiğimiz sistemlerden birisi maalesef işlemler sonucunda tamamen kapandı ve şuanda açılmıyor. Bizde başka bir sisteme geçerek çok basit şekilde kanıt niteliğinde bir video çektik. Tüm detaylar aşağıdadır iyi seyirler.

Video

Ekran Görüntüleri

VT Sonuçları

Linkleri görebilmek için kayıt olmanız gerekmektedir

Linkleri görebilmek için kayıt olmanız gerekmektedir

Linkleri görebilmek için kayıt olmanız gerekmektedir

Forumda bu kişilerin ürünlerini satan satıcı sayısı çok fazla olduğu için yöneticiler dosya kontrolü için exe'yi isterlerse kendilerine iletebiliriz.
Ne sattığınıza, Neyi övdüğünüze dikkat edin.
Yardımları için @mahircayan & @HAEUN teşekkürler.

SunWukong · 27 Ağu 2024

SyncSoftware · 27 Ağu 2024

Bu ürünü satan ve kullanan herkez rat mı yedi şimdi

goxdev · 27 Ağu 2024

bu ürünleri satan satıcıların konuları nasıl onay aldı acaba?

iyi ve başarılı bir çalışma olmuş.

Nowzy · 27 Ağu 2024

): sanırım böyle bi hilenin Crâck halini bi sitede açmıştım

BlackPlague · 27 Ağu 2024

SyncSoftware' Alıntı:
Bu ürünü satan ve kullanan herkez rat mı yedi şimdi

Malesef ki evet. Inject ederken zaten yükleyip sildiriyor. Yani siz göremiyorsunuz bile.

goxdev' Alıntı:
bu ürünleri satan satıcıların konuları nasıl onay aldı acaba?

iyi ve başarılı bir çalışma olmuş.

Çok iyi gizlenmiş. 1 saatin sonunda bulabildik. Yönetim kadrosunun bu kadar derinlemesine inceleme yapmasının mümkün olduğunu düşünmüyorum.

Nowzy' Alıntı:
): sanırım böyle bi hilenin Crâck halini bi sitede açmıştım

Evet geçmişte cracklenmişti. Zaten loader ve dll korumaları vs aşırı zayıf. Basit bir example auth sourcesine koyup geçiyorlar. Bu yüzden çok ucuz.

DivineSoftware · 27 Ağu 2024

BlackPlague · 27 Ağu 2024

lesuno' Alıntı:

Tüh

MtaProsu · 27 Ağu 2024

BlackPlague' Alıntı:
Merhaba arkadaşlar, hiç uzatmadan konuya giriş yapıyorum. Bu menüleri son zamanlarda tüm satıcılarda görmeye başlamıştık. Bizde ekip olarak ne olduğunu nereden geldiklerini kontrol etmek istedik. Sağ tarafta bulunan kırmızı menülü recheck olarak satılan ürünü incelemeye başladık. İncelemelerin başında ürün içeriği temiz gözükürken ardından bazı detaylar gözümüze takıldı. Önce DLL'lerini inceledik. DLL'in imzalı olduğunu farkettik. Ardından biraz daha incelemeye devam ettik ve loaderın işlemlerinde bir gariplik gördük. Loaderı dumplayıp inceledik. Inject ederken bir dosya çıkardığını ve kısa bir süre sonra hemen silindiğini farkettik. Bu dosyayı incelemeye başladık. Çıkarılan dosyanın başka bir setup adında dosyayı çalıştırıp rat yüklediğini gördük. Detaylara baktığımızda HADEVN isimli vietnamlı bir geliştiricinin bilgilerine ulaştık. Çıkarılan dosyaların hepsini virustotalde kontrol ettik ve çıkan sonuçlarda rat olduğu ve kendisine ait olduğu kesinleşti. Bizde gerekli kanıtları sizlerle paylaşarak bilgilendirmek istedik. İşlemleri recheck üzerinde yapsakta yeşil menünün de dağıtım ana noktasının SkyDevs olmasından ötürü bütün hilelerinde aynı sistemin olduğundan eminiz. Bu kadar ucuz olmasının sebebi bu olmalı. Ayrıca bu bir Crâck koruması değildir. Loaderı çalıştırıp inject eden herkeste otomatik olarak çalışan bir processtır. Test ettiğimiz sistemlerden birisi maalesef işlemler sonucunda tamamen kapandı ve şuanda açılmıyor. Bizde başka bir sisteme geçerek çok basit şekilde kanıt niteliğinde bir video çektik. Tüm detaylar aşağıdadır iyi seyirler.

Video

Ekran Görüntüleri

VT Sonuçları

Linkleri görebilmek için kayıt olmanız gerekmektedir

Linkleri görebilmek için kayıt olmanız gerekmektedir

Linkleri görebilmek için kayıt olmanız gerekmektedir

Forumda bu kişilerin ürünlerini satan satıcı sayısı çok fazla olduğu için yöneticiler dosya kontrolü için exe'yi isterlerse kendilerine iletebiliriz.
Ne sattığınıza, Neyi övdüğünüze dikkat edin.
Yardımları için @mahircayan & @HAEUN teşekkürler.

DivineSoftware · 27 Ağu 2024

BlackPlague' Alıntı:
Tüh

kullanmıstım ve uzun sure ban yememıstım halada bansız hesap ondan baya şaşırdım ama format atalı 3-4 gun oldu sorun yok

hesap bılgılerını de sımdı degıstırmeye gıdıyorum

🔥 RATLANDINIZ! 🔥 HADEVN(SkyDevs) İfşa

BlackPlague

💎 Distributor Service 💎

SunWukong

HA-EUN

SyncSoftware

goxdev

Nowzy

BlackPlague

💎 Distributor Service 💎

DivineSoftware

divinesoftware.store

BlackPlague

💎 Distributor Service 💎

MtaProsu

DivineSoftware

divinesoftware.store

Şuanda konuyu görüntüleyen kullanıcılar