Manuel Statik Analiz — Phemedrone Stealer | Tehdit: KRİTİK

Dosya Kimliği

SHA2560cb3d1764153b9a35238399270d7022be0cda443bbb3c5a4f7d0e2b6c9f1a3d6
Dosya AdıWDSecureUtilities(1).exe (SAHTE Windows Defender!)
Boyut239.616 byte (234KB)
String Sayisi1.444

WDSecureUtilities.exe: Sahte Windows Defender Yardımcı Programı

SAHTE ARAÇ: Windows Defender kılığında stealer!
WDSecureUtilities(1).exe
-- "WD" = Windows Defender kısaltması
-- "SecureUtilities" = güvenlik yardımcı programı (inandırıcı)
-- "(1)" = tarayıcı indirme sayacı (duplicate dosya)
-- Kullanıcı: "Windows Defender'dan indirilen güvenlik aracı" sanır
-- Gerçek: tüm şifrelerini ve kripto cüzdanlarını çalan stealer!

Key3Database + ParseColdWallets: KeePass + Kripto Hedefleme

HEDEF: KeePass şifre kasası + kripto soğuk cüzdanlar!
<Key3Database>b__0        -- KeePass 3 veritabanı parse metodu
<ParsePasswords>b__0      -- Şifre parse etme
<PasswordsTags>b__0       -- Şifre tag'leri
<ParseColdWallets>b__0    -- Kripto soğuk cüzdan parse!
-- "b__0" = C# derleyicisinin async/lambda metod ismi
-- Key3Database = KeePass 3.x .kdbx veritabanı
-- Phemedrone: KeePass master şifresini veya decrypted DB'yi çalıyor
-- ParseColdWallets: donanım cüzdanı seed phrase hedefleme
  - Trezor, Ledger, BitBox vb. soğuk cüzdan seed'leri
  - "cold wallet" = internet bağlantısı olmayan kripto depolama
  - Seed phrase = cüzdanın tam kontrolü
-- Çifte tehdit: parola + kripto serveti tek saldırıda

NtQuerySystemInformation + NtQueryObject: Çift Anti-Debug

NtQuerySystemInformation + NtQueryObject
-- PikaBot2 ile aynı dual NT anti-debug pattern!
-- Ortak kütüphane veya aynı antianaliz tekniğinin yayılması

IOC

SHA2560cb3d1764153b9a35238399270d7022be0cda443bbb3c5a4f7d0e2b6c9f1a3d6
TaklitWDSecureUtilities.exe (Windows Defender)
HedeflerKeePass 3.x (.kdbx), Kripto soğuk cüzdanlar

Phemedrone — Malware Profile

Phemedrone Stealer C# .NET. KeePass Key3Database + ParseColdWallets crypto cold wallets. Fake WD Secure Utilities.

Malware Type
Infostealer
Programming Language
C#
C2 Protocol
HTTP
Target Systems
Windows

Technical Details

.NET, HTTPS C2 (Telegram bot da kullanilmis), browser stealer, kripto wallet scraper, Telegram/Discord/Steam stealer, clipboard monitor, screenshot, anti-sandbox

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — Phemedrone
# SHA256 0cb3d1764153b9a35238399270d7022be0cda443bbb3c5a4f7d0e2b6c9f1a3d6
TypeValueNote
sha256 0cb3d1764153b9a35238399270d7022be0cda443bbb3c5a4f7d0e2b6c9f1a3d6

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
89.208.31.197 ip 443 HTTPS inactive NL

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
phemedrone-stealerwdsecureutilities-fake-windows-defenderkey3database-keepass-targetingparsecoldwallets-crypto-cold-walletparsepasswords-passwordstagsntquerysysteminformation-ntqueryobjectcsharp-async-method