Manuel Statik Analiz — CyberStealer | Tehdit: YUKSEK

Dosya Kimliği

SHA256673243eb584ea8ba1420288b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıChromeB_test.exe
Boyut1.420.288 byte (1.4MB)
String Sayisi6.371

Geliştirici Test Binary Sızıntısı

Kritik Bulgu: "_test" suffix → Test aşamasındaki developer binary MalwareBazaar'a karıştı!
ChromeB_test.exe
-- "ChromeB" = Chrome Browser hedefli stealer araç adı
-- "_test" = geliştirici test binary suffix!
-- Test binary'nin production dışı sızmış olması:
   → Geliştiricinin test sistemini taramış bir mağdur var
   → Veya geliştirici test aşamasında MalwareBazaar'a gönderdi
-- Araç adı "ChromeB" iç kullanımda açıkça Chrome Stealer olduğunu gösteriyor

C2 ve Panel İletişimi

https://iloveboats9.vip
-- "iloveboats" + rakam + .vip = dikkat çekici C2 domain
-- Anlamsız görünen domain → DGA veya saldırgan tercihi
-- Panel debug mesajı: [ChromeB] Screenshot data sent to panel!
-- "hwid": + "encrypted_k" = HWID + şifreli anahtar JSON payload

Hedef Veriler

Chrome Browser History  -- tarayıcı geçmişi
"hwid":""              -- Donanım ID (kurban tanımlama)
"encrypted_k"          -- Encrypted cookie/token key
[ChromeB] Screenshot data sent to panel!  -- ekran görüntüsü
-- SQLite indirme: sqlite.org/2024/sqlite-tools-win-x64-3460000.zip
   (Chrome Login Data veritabanını parse etmek için!)

IOC

SHA256673243eb584ea8ba1420288b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2iloveboats9.vip
LureChromeB_test.exe (developer test binary)

CyberStealer — Malware Profile

CyberStealer ChromeB_test.exe Chrome browser stealer. iloveboats9.vip C2. HWID+ekran+Chrome History+encrypted keys.

Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTPS
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — CyberStealer
# DOMAIN sqlite.org
TypeValueNote
domain sqlite.org

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
iloveboats9.vip domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
cyberstealerchromeb-test-exedeveloper-test-buildiloveboats9-vip-c2screenshot-panelchrome-history-stealerhwid-collection