Manuel Statik Analiz — AZORult | Tehdit: YUKSEK

Dosya Kimliği

SHA256738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2
Boyut143.360 byte
String Sayisi1.193

Şifreli C2 Config Fragmenti

9|l0c2-   -- Şifreli C2 adresi fragmenti

Registry Kalicilik

RegCreateKeyExW  -- Registry yazma (kalicilik icin)

AZORult Hakkinda

AZORult, 2016'dan beri aktif Rus yapimi C++ infostealer ailesidir. Tarayici sifreleri, email kimlik bilgileri, FTP, kripto cuzdan ve sistem bilgisi calar. HTTP POST ile sifreli C2'ye veri gonderir. 2019'da sIzdirildiktan sonra genis yayilim kazanmistir.

IOC

SHA256738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2
KalicilikRegCreateKeyExW

AZORult — Malware Profile

AZORult, 2016 dan beri aktif Rus yapimi C++ infostealer ailesidir. Tarayici sifreleri, email, FTP, kripto cuzdan. 2019 sızdırılmıstır.

Malware Type
Infostealer
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Windows

Technical Details

C++, HTTP POST C2, browser credential theft (Chromium/Firefox), cookie theft, cryptocurrency wallet stealer, Steam session stealer, screenshot, clipboard monitor, downloader capability

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — AZORult
# SHA256 738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2
TypeValueNote
sha256 738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2

C2 Servers (4 recorded servers for this family)

Address Type Port Protocol Status Country
ip-api.com domain 80 HTTP active —
azorult-panel.ru domain 80 HTTP inactive RU
176.109.116.153 ip 80 HTTP inactive UA
dotbit.me domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
azorultinfostealerregistry-persistenceencrypted-c2config