Manuel Statik Analiz — CryptBot Stealer | Tehdit: YUKSEK

Archivo Kimligi

SHA256a5f54b2b09467a64cb423f690126a59eba4ab1f6358eb629468c398c7835c5bf
Archivo Adishark2.bin
Tamaño6.039.328 byte (6MB)
String Sayisi29.161

Delphi/VCL Kaniti

EVariantArrayLockedError   -- Delphi exception sinifi
EFileStreamError           -- Delphi dosya akis hatasi
TFileStream|MA             -- Delphi dosya akis sinifi
clBtnShadow, cl3DDkShadow  -- Delphi renk sabitleri
MSH_WHEELSUPPORT_MSG       -- VCL bileşen mesaji
poProportional             -- Delphi form ozelligi

Supheli Domain

x8D8.io   -- Supheli .io domaine (C2 olabilir)

CryptBot Hakkinda

CryptBot, Delphi ile yazilmis 2019'dan beri aktif infostealer ailesidir. Google Ads kanalinda sahte yazilim kurulum sayfalari ile dagitilir. Tarayici kimlik bilgileri, kripto cuzdan, FTP ve diger kisisel veriler calar.

IOC

SHA256a5f54b2b09467a64cb423f690126a59eba4ab1f6358eb629468c398c7835c5bf
DilDelphi/VCL

Cryptbot — Perfil del malware

CryptBot, 2019 dan beri aktif Delphi/VCL tabanli infostealer ailesidir. Google Ads ile sahte yazilim dagitimi. Tarayici, kripto cuzdan veri calma.

Tipo de malware
Infostealer
Lenguaje de programación
C
Protocolo C2
HTTP
Sistemas objetivo
Windows

Detalles técnicos

Infostealer ailesi: TCP C2 protokolu, kalicilik mekanizmasi (Registry/Task Scheduler), keylogger, ekran goruntüsü, uzak kabuk, dosya yoneticisi, process manager, anti-analiz kontrolleri

Capacidades y comportamiento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (1 indicadores)

IOC — CryptBot
# SHA256 a5f54b2b09467a64cb423f690126a59eba4ab1f6358eb629468c398c7835c5bf
TipoValorNota
sha256 a5f54b2b09467a64cb423f690126a59eba4ab1f6358eb629468c398c7835c5bf

Servidores C2 (2 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
195.133.40.89 ip 80 HTTP active RU
45.135.232.176 ip 80 HTTP inactive DE

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
cryptbotstealerdelphivclvcerttls