Manuel Statik Analiz (LLM Okumali) — Jupyter/SolarMarker Infostealer | Tehdit: YUKSEK

ファイル Kimligi

SHA2568d610d9014d0f80b06c615c9f0dbf150f21752df67d77cdde0524d85b9edde2f
FormatPE (DLL), .NET
サイズ409.600 byte
String Sayisi2.626

AES-256-CBC Sifrelenmis C2 Config

LC9pAc20x5Y8ep1ye1KhR2Nhm_T48IhH7sxFV_14yJyPVA2tZaUTYeLC4TJKPsNrkcqrfOLmIcgMrXgqjb2pFitQYoPjyV_AN7JxKA8fK_gNUZ

-- Base64url (RFC 4648) ile kodlanmis AES-256-CBC sifrelenmis config
-- Jupyter'a ozgu sifreleme format: IV + cipher_text + HMAC
-- C2 adresi/port/campaign_id icermektedir

Jupyter/SolarMarker Hakkinda

Jupyter (SolarMarker, Yellow Cockatoo veya Polazert olarak da bilinir), 2020'den beri aktif olan bir .NET infostealer/backdoor ailesidir. SEO zehirleme yoluyla sahte uretkentlik yazilimi, form generator ve benzeri arama sonuclarini hedefler. Tarayici sifreleri, kimlik bilgileri ve oturum cookie'leri calar. AES-256-CBC ile sifrelenmis C2 adresi, imza mevcut orneklerde statik kalir — bu C2'nin cluster bazli takibine imkan tanir.

IOC

SHA2568d610d9014d0f80b06c615c9f0dbf150f21752df67d77cdde0524d85b9edde2f
C2 ConfigAES-256-CBC + Base64url (encrypted)
Platform.NET

Jupyter — マルウェアプロファイル

Jupyter (SolarMarker, Yellow Cockatoo, Polazert), 2020'den beri aktif .NET infostealer/backdoor ailesidir. SEO zehirleme ile sahte uretkenlik yazilimi arayan kullanicilari hedefler. AES-256-CBC sifrelenmis C2 config kullanir. Tarayici kimlik bilgileri ve cookie calar.

マルウェアの種類
Infostealer
プログラミング言語
.NET/C#
C2プロトコル
HTTPS/AES
標的システム
Genel Kullanici

機能と挙動

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOCリスト (1 件の指標)

IOC — Jupyter
# SHA256 8d610d9014d0f80b06c615c9f0dbf150f21752df67d77cdde0524d85b9edde2f
タイプメモ
sha256 8d610d9014d0f80b06c615c9f0dbf150f21752df67d77cdde0524d85b9edde2f
タグ
jupytersolarmarkernetaes-configseo-poisoninginfostealerbase64url