GROB RAT [Source] | Leaked by: @SentinelLinks

RAT и Stealer, который состоит из трех компонентов: веб-панель управления (Next.js), сервер связи (Node.js WebSocket), клиентское приложение (Go для Windows). Архитектура позволяет централизованно управлять удаленными устройствами через веб-интерфейс.

За предоставленные файлы спасибо: t.me/SentinelLinks

Подробнее

Архитектура позволяет централизованно управлять удаленными устройствами через веб-интерфейс. Компоненты взаимодействуют через WebSocket и REST API. Веб-интерфейс на Next.js 16 с App Router, React 19, TypeScript 5, Tailwind CSS 4.1.9 и компонентами Radix UI.

Клиент на Go для Windows x64, компилируется с флагами -ldflags="-s -w -H windowsgui" для скрытия консоли. Подключается к WebSocket-серверу, отправляет client_hello с hostname, OS, IP, user_uid, автоматически переподключается при разрыве, перезапускается при панике.

Особенности

Удаленное подключение — WebSocket-соединение между клиентом и сервером, автоматическое переподключение при разрыве, поддержка множественных устройств одновременно

Файловый менеджер — просмотр структуры каталогов, загрузка файлов с устройства (до 50MB), загрузка файлов на устройство, удаление файлов и папок, запуск файлов на удаленном устройстве

Терминал команд — выполнение команд через CMD, перехват stdout/stderr, отображение exit code, поддержка всех Windows команд

Веб-камера — список доступных камер, захват кадров в реальном времени, поддержка нескольких камер, использование ffmpeg для захвата

Stealer модуль — сбор данных с зараженных устройств:

Discord токены — извлечение токенов из Discord, Discord Canary, Discord PTB, браузеров (Chrome, Edge, Brave, Opera), расшифровка зашифрованных токенов через DPAPI и AES-GCM, получение информации об аккаунтах (username, email, phone, nitro, MFA)

Roblox cookies — извлечение .ROBLOSECURITY из реестра Windows, получение информации об аккаунтах (username, user ID, robux, premium статус)

Telegram сессии — обнаружение и извлечение сессий из %APPDATA%\Telegram Desktop\tdata

Данные браузеров — пароли, cookies, история из Chrome, Edge, Brave, Opera, Vivaldi, расшифровка через DPAPI master keys

Криптокошельки — поиск файлов кошельков: Exodus, Atomic, Electrum, Coinomi, Guarda, Wasabi, MetaMask, Phantom, извлечение seed phrases и private keys

Интересные файлы — автоматический поиск и структурирование важных файлов на устройстве

FUN Function:

BSOD (Синий экран) — принудительный вызов синего экрана через NtRaiseHardError

Winlocker — блокировка экрана с полноэкранным окном через PowerShell

Перезагрузка/Выключение — удаленная перезагрузка или выключение ПК через shutdown

Показ сообщений — отображение MessageBox с кастомным текстом (info/warning/error/question)

Смена обоев — установка обоев рабочего стола по URL

Воспроизведение звуков — проигрывание системных звуков через PowerShell beep

Открытие сайтов — открытие URL в браузере (Steam, Discord, VK, Telegram, Google или кастомный URL)

Тряска экрана — быстрое перемещение курсора для визуального эффекта

Скачать

Сообщество THREAD предупреждает, что перед запуском предоставленного программного обеспечения необходимо проявить особую осторожность. Для защиты рабочих станций от возможного заражения рекомендуется использовать виртуальную машину или песочницу.
Пароль от архива и соглашение

THREAD CLOUD

Файл был удален или утерян? Напиши в поддержку для перезалива!

#malware