Genel Bakış

Bu örnek, Snake KeyloggerCelesty Binder ile paketlenmiş ve Telegram üzerinden C2 iletişimi kuran gelişmiş bir malware paketidir. İçerisinde birden fazla bileşen barındırmakta; şifre çalma, klavye kaydı ve Telegram bot üzerinden veri sızdırma yeteneklerine sahiptir.

Bileşen Analizi

Snake Keylogger

  • -------- Snake Keylogger -------- dizesi 59 kez tekrarlanıyor (her bileşen kopyasında)
  • | Snake Keylogger dahili tanımlayıcısı
  • Klavye kaydı, şifre toplama, tarayıcı veri hırsızlığı
  • get_encryptedPassword → şifreli parola çalma

Celesty Binder (DarkCoderSc)

  • PDB yolu: C:\Users\DarkCoderSc\Desktop\Celesty Binder\Stub\STATIC\Stub.pdb
  • DarkCoderSc — Celesty Binder'ın Fransız geliştirici yazarı
  • Snake Keylogger bu binder ile paketlenip dağıtılmıştır

Ring3 CRAT x64 (Credential RAT)

  • PDB yolu: C:\Users\W7H64\source\repos\Ring3 CRAT x64\Ring3 CRAT x64\nope.pdb
  • Ring 3 (user-mode) kimlik bilgisi toplama aracı x64

Telegram C2 İletişimi

  • https://api.telegram.org/bot
  • /sendMessage?chat_id= — metin mesaj gönderme
  • /sendDocument?chat_id= — dosya (çalınan veri) gönderme
  • İlk IP: http://checkip.dyndns.org/ — kurbanın IP adresini öğrenme
  • icoremail.net — e-posta sunucusu hedefi

Şifreleme

  • BCrypt kullanımı: BCRYPT_AUTHENTICATED_CIPHER_MODE_INFO
  • RSA: BCRYPT_OAEP_PADDING_INFO, BCRYPT_PSS_PADDING_INFO
  • Çalınan veriler şifreli olarak Telegram'a gönderilmektedir

Ek Bulgular

  • Drop dosyası: YFGGCVyufgtwfyuTGFWTVFAUYVF.exe (rastgele isim)
  • RDP kötüye kullanımı: [experimental] patch Terminal Server service to allow multiples users
  • Minesweeper GitHub bağlantısı (kamuflaj amaçlı gömülü)

Teknik Özellikler

ÖzellikDeğer
AileleriSnake Keylogger + Celesty Binder + Ring3 CRAT x64
Boyut515.584 bayt
C2 ProtokolüTelegram Bot API (HTTPS)
IP Tespiticheckip.dyndns.org
ŞifrelemeBCrypt AES + RSA OAEP

IOC Özeti

  • C2: https://api.telegram.org/bot
  • IP Check: http://checkip.dyndns.org/
  • PDB: C:\Users\DarkCoderSc\Desktop\Celesty Binder
  • PDB: C:\Users\W7H64\source\repos\Ring3 CRAT x64
  • SHA256: 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec

Snake Keylogger — Malware Profile

Snake Keylogger (404 Keylogger olarak da bilinir), .NET ile gelistirilmis cok kanalli bir bilgi hirsizı ve keylogger. SMTP, FTP ve Telegram bot API araciligiyla ceyrilen verileri (sifre, ekran goruntüsü, pano icerik, tus kaydi) exfiltre eder.

Malware Type
Infostealer
Programming Language
.NET (C#)
C2 Protocol
SMTP/FTP/Telegram
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (4 indicators)

IOC — Snake Keylogger
# SHA256 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec # DOMAIN api.telegram.org # DOMAIN checkip.dyndns.org # DOMAIN icoremail.net
TypeValueNote
sha256 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec
domain api.telegram.org
domain checkip.dyndns.org
domain icoremail.net
Tags
snake-keyloggerkeyloggercelesty-binderdarkcodersctelegramc2ring3-cratstealerbcryptrsacredential-theftrdp