Manuel Statik Analiz — HeartCrypt / PrivateLoader | Tehdit: KRITIK

Dosya Kimliği

SHA2566f35551adda5f7d33381a55ce1b5970eabc04bcafbd2e8a5c3f7b1d6e9c2f5a8
Boyut3.704.320 byte (3.7MB)
String Sayisi21.975

DroidCam Kamuflajı

Kamuflaj: DroidCam (meşru Android webcam uygulaması) yükleyicisi olarak kendini tanıtıyor!
http://dev47apps.com/droidcam/help/  -- DroidCam yardım URL'si (sosyal mühendislik)
C:\Users\admin\source\repos\droidcamapp\Release\DroidCamApp.pdb
-- PDB yolu DroidCam imzalı görünüm sağlıyor

Sandbox Tespiti

[Sandboxie]  -- Sandboxie sandbox tespiti (analiz ortamı kaçınma)
IsDebuggerPresent, SetHandleInformation  -- Anti-debug

C2 Domain

known2.me  -- Şüpheli C2 domain (dev47apps.com + grigsoft.com != C2)

FileZilla Çalma

[FileZilla]
Detect=HKLM\SOFTWARE\FileZilla Client
Detect2=HKCU\SOFTWARE\FileZilla Client
-- FileZilla FTP istemci şifrelerini çalıyor!

IOC

SHA2566f35551adda5f7d33381a55ce1b5970eabc04bcafbd2e8a5c3f7b1d6e9c2f5a8
C2known2.me
KamuflajDroidCam (dev47apps.com)

HeartCrypt — Malware Profile

HeartCrypt, .NET packer/loader. DroidCam kamuflaj, Sandboxie tespiti, FileZilla calma. PrivateLoader zinciri.

Malware Type
Loader
Programming Language
C#/.NET
C2 Protocol
HTTP
Target Systems
Kuresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — HeartCrypt
# SHA256 6f35551adda5f7d33381a55ce1b5970eabc04bcafbd2e8a5c3f7b1d6e9c2f5a8
TypeValueNote
sha256 6f35551adda5f7d33381a55ce1b5970eabc04bcafbd2e8a5c3f7b1d6e9c2f5a8
Tags
heartcryptprivateloaderdroidcamsandboxie-detectfilezilla-stealknown2me