Manuel Statik Analiz — HeartCrypt / PrivateLoader | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 6f35551adda5f7d33381a55ce1b5970eabc04bcafbd2e8a5c3f7b1d6e9c2f5a8 |
|---|---|
| Boyut | 3.704.320 byte (3.7MB) |
| String Sayisi | 21.975 |
DroidCam Kamuflajı
Kamuflaj: DroidCam (meşru Android webcam uygulaması) yükleyicisi olarak kendini tanıtıyor!
http://dev47apps.com/droidcam/help/ -- DroidCam yardım URL'si (sosyal mühendislik) C:\Users\admin\source\repos\droidcamapp\Release\DroidCamApp.pdb -- PDB yolu DroidCam imzalı görünüm sağlıyor
Sandbox Tespiti
[Sandboxie] -- Sandboxie sandbox tespiti (analiz ortamı kaçınma) IsDebuggerPresent, SetHandleInformation -- Anti-debug
C2 Domain
known2.me -- Şüpheli C2 domain (dev47apps.com + grigsoft.com != C2)
FileZilla Çalma
[FileZilla] Detect=HKLM\SOFTWARE\FileZilla Client Detect2=HKCU\SOFTWARE\FileZilla Client -- FileZilla FTP istemci şifrelerini çalıyor!
IOC
| SHA256 | 6f35551adda5f7d33381a55ce1b5970eabc04bcafbd2e8a5c3f7b1d6e9c2f5a8 |
|---|---|
| C2 | known2.me |
| Kamuflaj | DroidCam (dev47apps.com) |
HeartCrypt — Malware Profile
HeartCrypt, .NET packer/loader. DroidCam kamuflaj, Sandboxie tespiti, FileZilla calma. PrivateLoader zinciri.
Malware Type
Loader
Programming Language
C#/.NET
C2 Protocol
HTTP
Target Systems
Kuresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — HeartCrypt
# SHA256
6f35551adda5f7d33381a55ce1b5970eabc04bcafbd2e8a5c3f7b1d6e9c2f5a8
| Type | Value | Note |
|---|---|---|
| sha256 | 6f35551adda5f7d33381a55ce1b5970eabc04bcafbd2e8a5c3f7b1d6e9c2f5a8 |