Manuel Statik Analiz — Phemedrone Stealer | Tehdit: YUKSEK

ファイル Kimliği

SHA2560cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1
ファイル名WDSecureUtilities(1).exe
サイズ239.616 byte
String Sayisi1.444

Windows Defender Kamuflajı

Kamuflaj: "WDSecureUtilities" = Windows Defender güvenlik yardımcı programı taklidi!

Discord Token Çalma

<ParseDiscordTokens>b__6_0  -- Discord token ayrıştırma lambdası #1
<ParseDiscordTokens>b__6_1  -- Discord token ayrıştırma lambdası #2
<CookiesTags>b__0           -- Tarayıcı cookie çalma lambdası
-- .NET LINQ lambda metodları ile token/cookie hırsızlığı

Kernel Anti-Sandbox

NtQuerySystemInformation  -- Kernel seviyesinde sistem bilgisi (sandbox tespiti)
NtQueryObject             -- Nesne bilgisi sorgusu (debugger handle tespiti)

Phemedrone Hakkında

Phemedrone, 2024'ten beri aktif C# tabanlı infostealer ailesidir. Windows SmartScreen/Defender bypass açığından (CVE-2023-36025) yararlanmıştır. Discord token, tarayıcı cookie/şifre, kripto cüzdan ve Steam oturumu çalar. Telegram bot C2 kullanır. GitHub üzerinden açık kaynak olarak yayınlanmıştır.

IOC

SHA2560cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1
KamuflajWDSecureUtilities (Windows Defender)
HedefDiscord token + Browser cookie

Phemedrone — マルウェアプロファイル

Phemedrone Stealer C# .NET. KeePass Key3Database + ParseColdWallets crypto cold wallets. Fake WD Secure Utilities.

マルウェアの種類
Infostealer
プログラミング言語
C#
C2プロトコル
HTTP
標的システム
Windows

技術詳細

.NET, HTTPS C2 (Telegram bot da kullanilmis), browser stealer, kripto wallet scraper, Telegram/Discord/Steam stealer, clipboard monitor, screenshot, anti-sandbox

機能と挙動

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOCリスト (1 件の指標)

IOC — Phemedrone
# SHA256 0cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1
タイプメモ
sha256 0cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1

C2サーバー (このファミリーで1台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
89.208.31.197 ip 443 HTTPS inactive NL

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
phemedroneinfostealerdiscord-tokenscookie-stealwindows-defender-disguisentquery