Manuel Statik Analiz — CryptBot (Delphi) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | a5f54b2b09467a64603932bc5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f1 |
|---|---|
| Dosya Adı | shark2.bin (ikinci versiyon "shark" kodu adlı payload) |
| Boyut | 6.039.328 byte (6MB) |
| String Sayisi | 29.161 |
shark2.bin — İç Kod Adı
shark2.bin -- "shark" = iç kod adı (v1 → v2) -- ".bin" = binary dosya (PE kılıklı değil) -- 6MB → büyük stealer paketi + gömülü kaynaklar -- Delphi ile yazılmış (RAD Studio IDE artifacts)
C2: x8D8.io
C2 Tespit: x8D8.io domain!
x8D8.io -- "x" prefix + "8D8" alfanumerik = obfuskated domain adı -- .io = British Indian Ocean TLD (yaygın C2 TLD) -- CryptBot tipik C2 yapısı: kısa, anlamlı olmayan domain
Delphi RAD Studio Artifact'ları + c2 Substring'ler
MSH_WHEELSUPPORT_MSG -- Delphi scrolling message constant TConversion -- Delphi type conversion class TConversionFormat -- Delphi format dönüşüm türü -- C2 config substring'leri: 262=2c2p2 -- "2c2p2" (P2P + C2 hybrid? port 262?) e}c2x -- "c2x" (C2 execute?) c2t#! -- "c2t" (C2 token?) -- Delphi string encoding: sayılar ve semboller karışık
IOC
| SHA256 | a5f54b2b09467a64603932bc5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f1 |
|---|---|
| C2 | x8D8.io |
| Kılık | shark2.bin (Delphi stealer ikinci versiyon) |
CryptBot2 — Malware Profile
CryptBot Delphi stealer shark2.bin x8D8.io C2. Browser password crypto wallet. MSH_WHEELSUPPORT Delphi RAD Studio.
Malware Type
Infostealer
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Kuresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — CryptBot2
# DOMAIN
x8d8.io
| Type | Value | Note |
|---|---|---|
| domain | x8d8.io |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| x8D8.io | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.