Manuel Statik Analiz — CryptBot Stealer | Tehdit: YUKSEK

Dosya Kimligi

SHA256a5f54b2b09467a64cb423f690126a59eba4ab1f6358eb629468c398c7835c5bf
Dosya Adishark2.bin
Boyut6.039.328 byte (6MB)
String Sayisi29.161

Delphi/VCL Kaniti

EVariantArrayLockedError   -- Delphi exception sinifi
EFileStreamError           -- Delphi dosya akis hatasi
TFileStream|MA             -- Delphi dosya akis sinifi
clBtnShadow, cl3DDkShadow  -- Delphi renk sabitleri
MSH_WHEELSUPPORT_MSG       -- VCL bileşen mesaji
poProportional             -- Delphi form ozelligi

Supheli Domain

x8D8.io   -- Supheli .io domaine (C2 olabilir)

CryptBot Hakkinda

CryptBot, Delphi ile yazilmis 2019'dan beri aktif infostealer ailesidir. Google Ads kanalinda sahte yazilim kurulum sayfalari ile dagitilir. Tarayici kimlik bilgileri, kripto cuzdan, FTP ve diger kisisel veriler calar.

IOC

SHA256a5f54b2b09467a64cb423f690126a59eba4ab1f6358eb629468c398c7835c5bf
DilDelphi/VCL

Cryptbot — Malware Profile

CryptBot, 2019 dan beri aktif Delphi/VCL tabanli infostealer ailesidir. Google Ads ile sahte yazilim dagitimi. Tarayici, kripto cuzdan veri calma.

Malware Type
Infostealer
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows

Technical Details

Infostealer ailesi: TCP C2 protokolu, kalicilik mekanizmasi (Registry/Task Scheduler), keylogger, ekran goruntüsü, uzak kabuk, dosya yoneticisi, process manager, anti-analiz kontrolleri

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — CryptBot
# SHA256 a5f54b2b09467a64cb423f690126a59eba4ab1f6358eb629468c398c7835c5bf
TypeValueNote
sha256 a5f54b2b09467a64cb423f690126a59eba4ab1f6358eb629468c398c7835c5bf

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
195.133.40.89 ip 80 HTTP active RU
45.135.232.176 ip 80 HTTP inactive DE

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
cryptbotstealerdelphivclvcerttls