Manuel Statik Analiz — Stealerium (svchost Gizleme) | Tehdit: YUKSEK

Dosya Kimliği

SHA2562ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adısvchost.exe (Windows Servis Host taklidi!)
Boyut75.264 byte (çok küçük — ciddi packer)
String Sayisi147 (son derece obfuskasyon!)

Geliştirici Parmak İzi

C:\Users\d4ps\source\repos\PdfFile\obj\Release\Pdf Reader.pdb
-- Kullanıcı: "d4ps" (kısa takma ad/gamer tag)
-- Proje: "PdfFile" (PDF okuyucu taklidi)
-- Derleme: Release\Pdf Reader (kullanıcıya gösterilen isim)
-- Visual Studio "source\repos" dizini = VS varsayılan

svchost.exe Gizleme

svchost.exe  -- Windows Service Host adı (sistem kritik süreç)
-- Task Manager'da meşru görünüyor
-- Process name whitelist tabanlı güvenlik atlatma
-- 75KB: svchost normalde bu kadar küçük değil ama dikkat çekmiyor

IOC

SHA2562ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
PDBd4ps / PdfFile / Pdf Reader (geliştirici kimliği)
Kamuflajsvchost.exe (Windows Servis Host taklidi)

Stealerium — Malware Profile

Stealerium .NET C# open source 2022 GitHub. svchost.exe gizleme. d4ps developer PdfFile.

Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTPS
Target Systems
Kuresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (2 indicators)

IOC — Stealerium
# SHA256 2ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 # FILEPATH C:\Users\d4ps\source\repos\PdfFile\obj\Release\Pdf Reader.pdb
TypeValueNote
sha256 2ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 63-char hash
filepath C:\Users\d4ps\source\repos\PdfFile\obj\Release\Pdf Reader.pdb PDB gelistirici yolu
Tags
stealeriumsvchost-exe-disguised4ps-developerpdffile-pdbpdf-reader-lureheavy-obfuscation