Statik Analiz — BluStealer | | CVSS: 7.5

ファイル

SHA2569e375d13756195da6c9c580e435042ff8105ef2c2e83b0270d98f3fc387e6ce8
MD5164a1a27b7b433966e4baacfd59353cc
ファイル9e375d13756195da6c9c580e435042ff8105ef2c2e83b0270d98f3fc387e6ce8.exe
サイズ912,960 byte
種別PE32 executable for MS Windows 4.00 (GUI), Intel i386, 8 sections
Stringler1,934

Bölümler

AdEntropi
CODE6.51
DATA3.15
BSS0.0
.idata4.17
.tls0.0
.rdata0.21
.reloc6.44
.rsrc1.3

Import Tablosu

  • kernel32.dll
  • user32.dll
  • advapi32.dll
  • oleaut32.dll
  • kernel32.dll
  • advapi32.dll
  • kernel32.dll
  • gdi32.dll
  • user32.dll
  • shell32.dll

IOC

SHA2569e375d13756195da6c9c580e435042ff8105ef2c2e83b0270d98f3fc387e6ce8
MD5164a1a27b7b433966e4baacfd59353cc
IP1.0.0.0
Domaindigicert.com, symcb.com, symantec.com
MutexReleaseMutex
C2digicert.com, symcb.com, symantec.com

BluStealer — マルウェアプロファイル

BluStealer VB6/VBS stealer 2021. Telegram Bot /sendDocument C2. TSC developer. Tarayici+email+kripto.

マルウェアの種類
Infostealer
プログラミング言語
VB6/VBScript
C2プロトコル
Telegram Bot API
標的システム
Küresel

機能と挙動

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOCリスト (5 件の指標)

IOC — BluStealer
# IP 1.0.0.0 # DOMAIN digicert.com # DOMAIN symcb.com # DOMAIN symantec.com # MUTEX ReleaseMutex
タイプメモ
ip 1.0.0.0 C2 aday
domain digicert.com C2 domain
domain symcb.com C2 domain
domain symantec.com C2 domain
mutex ReleaseMutex Mutex

C2サーバー (このファミリーで8台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
digicert.com domain — TCP active —
sectigo.com domain — TCP active —
microsoft.com domain — TCP active —
xanasoft.com domain — TCP active —
sandboxie-plus.com domain — TCP active —
github.com domain — TCP active —
digicert.com domain — TCP active —
digicert.com domain — TCP active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
BluStealermalwarestatik-analizIOC