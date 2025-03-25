Antes de intentar descargar archivos, el módulo principal de Sheriff carga un mensaje de registro que contiene la dirección IP pública de la víctima y la lista de módulos cargados. El registro está encriptado con XOR utilizando el ID de la víctima que consiste en el GUID (a partir de los argumentos o generado aleatoriamente) y el número de serie. Después del cifrado, el registro se sube a una carpeta de Dropbox cuyo nombre coincide con el ID de la víctima.

Todos los archivos se recuperan de la carpeta de Dropbox en /<victim_id>/Dow/ y se descargan en la "ModulsFolder" local codificada como "/DxyVS1". Después de la descarga, todos los archivos se eliminan instantáneamente de Dropbox. A continuación, analizaremos cómo el módulo principal maneja los archivos descargados.

El proceso de carga comienza enumerando todos los archivos locales en "UploadLocalFolder", en este caso codificado como "/gyTufW". Según sus extensiones, se clasifican en tres categorías:

Los archivos que utilizan el.d7r "_defaultZipExt"codificado de forma rígida ya están comprimidos; Los archivos sin extensión ya están cifrados y listos para cargar; y Todos los demás archivos todavía están en texto no cifrado.

La función "PreparingForUpload" comprimirá todos los archivos de texto sin cifrar en un nuevo archivo ZIP. Todos los archivos ZIP se cifran posteriormente con una clave AES generada aleatoriamente que, a su vez, se cifra con la clave RSA pública y se concatena con el archivo cifrado. Durante la ejecución, la función elimina todos los archivos residuales de la carpeta hasta que solo quedan archivos completamente comprimidos y cifrados. Luego, se cargan en la carpeta de Dropbox en /<victim_id>/Up/ mientras se eliminan localmente.

Tanto las funciones de carga como de descarga se ejecutan de forma asíncrona y se ejecutan con un temporizador codificado a 30 segundos en la muestra analizada.

En el momento de la investigación, la cuenta de Dropbox ya no alojaba ningún archivo, como indica el uso del espacio: