Manuel Statik Analiz — CyberStealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 673243eb584ea8ba1420288b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | ChromeB_test.exe |
| Boyut | 1.420.288 byte (1.4MB) |
| String Sayisi | 6.371 |
Geliştirici Test Binary Sızıntısı
Kritik Bulgu: "_test" suffix → Test aşamasındaki developer binary MalwareBazaar'a karıştı!
ChromeB_test.exe -- "ChromeB" = Chrome Browser hedefli stealer araç adı -- "_test" = geliştirici test binary suffix! -- Test binary'nin production dışı sızmış olması: → Geliştiricinin test sistemini taramış bir mağdur var → Veya geliştirici test aşamasında MalwareBazaar'a gönderdi -- Araç adı "ChromeB" iç kullanımda açıkça Chrome Stealer olduğunu gösteriyor
C2 ve Panel İletişimi
https://iloveboats9.vip -- "iloveboats" + rakam + .vip = dikkat çekici C2 domain -- Anlamsız görünen domain → DGA veya saldırgan tercihi -- Panel debug mesajı: [ChromeB] Screenshot data sent to panel! -- "hwid": + "encrypted_k" = HWID + şifreli anahtar JSON payload
Hedef Veriler
Chrome Browser History -- tarayıcı geçmişi "hwid":"" -- Donanım ID (kurban tanımlama) "encrypted_k" -- Encrypted cookie/token key [ChromeB] Screenshot data sent to panel! -- ekran görüntüsü -- SQLite indirme: sqlite.org/2024/sqlite-tools-win-x64-3460000.zip (Chrome Login Data veritabanını parse etmek için!)
IOC
| SHA256 | 673243eb584ea8ba1420288b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | iloveboats9.vip |
| Lure | ChromeB_test.exe (developer test binary) |
CyberStealer — Malware Profile
CyberStealer ChromeB_test.exe Chrome browser stealer. iloveboats9.vip C2. HWID+ekran+Chrome History+encrypted keys.
Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTPS
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — CyberStealer
# DOMAIN
sqlite.org
| Type | Value | Note |
|---|---|---|
| domain | sqlite.org |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| iloveboats9.vip | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.