Manuel Statik Analiz — BlackGuard / UnixStealer | Tehdit: KRITIK
Archivo Kimliği
| SHA256 | 0d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8 |
|---|---|
| Nombre de archivo | Build.exe |
| Tamaño | 303.617 byte |
| String Sayisi | 3.520 |
Geliştirici PDB İzi
C:\Users\brtig\OneDrive\Desktop\Src\UnixStealer\UnixStealer\obj\Release\UnixStealer.pdb -- Kullanici adi: brtig -- Proje adi: UnixStealer (Windows malware icin yaniltici isim)
Telegram C2 -- DOGRULANMIS
https://api.telegram.org/bot[TOKEN]/sendMessage -- Bot token + sendMessage = Telegram bot C2!
Diger IOC
http://ip-api.com/line/ -- GeoIP konum tespiti https://api.vimeworld.ru/user/ -- Rus Minecraft API (C2 olabilir) bhf.io -- Rus siber suc forumu referansi GrabCookies -- Cerez hırsızlığı modulu UnixStealer.Edge / EdgePath -- Edge tarayici hedefi
IOC
| SHA256 | 0d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8 |
|---|---|
| C2 | Telegram Bot (api.telegram.org) |
| PDB | brtig / UnixStealer |
BlackGuard — Perfil del malware
BlackGuard .NET MaaS stealer 2022. $200/ay. 22+ kripto cuzdani. Rus dark web.
Tipo de malware
Infostealer
Lenguaje de programación
C#/.NET
Protocolo C2
HTTP
Sistemas objetivo
Windows
Detalles técnicos
.NET, HTTPS C2 (Telegram/Discord C2 dead drop da destekli), browser stealer, kripto wallet stealer, VPN/FTP stealer, Discord/Steam token, USB propagation, clipper, screenshot
Capacidades y comportamiento
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
Lista IOC (1 indicadores)
IOC — BlackGuard
# SHA256
0d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 0d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8 |
Servidores C2 (2 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| blackguard.shop | domain | 443 | HTTPS | active | — |
| 5.182.86.125 | ip | 1337 | TCP | inactive | RU |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.