Manuel Statik Analiz — Phemedrone Stealer | Tehdit: YUKSEK

ファイル Kimliği

SHA2560cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
ファイル名WDSecureUtilities(1).exe
サイズ239.616 byte (.NET)
String Sayisi1.444

Windows Defender Taklit

WDSecureUtilities(1).exe
-- "WD" = Windows Defender kısaltması
-- "SecureUtilities" = güvenlik aracı görünümü
-- "(1)" = indirilen kopya numarası (yaygın dosya ismi)
-- Kullanıcı Windows Defender aracı sanıp çalıştırıyor

NT API Anti-Debug

NtQuerySystemInformation  -- Sistem bilgisi sorgusu (debugger tespiti)
NtQueryObject             -- Nesne bilgisi (breakpoint tespiti)
get_encrypted             -- Şifreli string çözme metodu
#GUID                     -- .NET assembly GUID (C# kaynağı)

IOC

SHA2560cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
KamuflajWDSecureUtilities.exe (Windows Defender gizleme)

Phemedrone — マルウェアプロファイル

Phemedrone Stealer C# .NET. KeePass Key3Database + ParseColdWallets crypto cold wallets. Fake WD Secure Utilities.

マルウェアの種類
Infostealer
プログラミング言語
C#
C2プロトコル
HTTP
標的システム
Windows

技術詳細

.NET, HTTPS C2 (Telegram bot da kullanilmis), browser stealer, kripto wallet scraper, Telegram/Discord/Steam stealer, clipboard monitor, screenshot, anti-sandbox

機能と挙動

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOCリスト (1 件の指標)

IOC — Phemedrone
# SHA256 0cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
タイプメモ
sha256 0cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62

C2サーバー (このファミリーで1台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
89.208.31.197 ip 443 HTTPS inactive NL

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
phemedronewdsecureutilities-exewindows-defender-disguisentquerysysteminformationnt-api-anti-debugnet-stealer