Genel Bakış

Bu örnek, Snake KeyloggerCelesty Binder ile paketlenmiş ve Telegram üzerinden C2 iletişimi kuran gelişmiş bir malware paketidir. İçerisinde birden fazla bileşen barındırmakta; şifre çalma, klavye kaydı ve Telegram bot üzerinden veri sızdırma yeteneklerine sahiptir.

Bileşen Analizi

Snake Keylogger

  • -------- Snake Keylogger -------- dizesi 59 kez tekrarlanıyor (her bileşen kopyasında)
  • | Snake Keylogger dahili tanımlayıcısı
  • Klavye kaydı, şifre toplama, tarayıcı veri hırsızlığı
  • get_encryptedPassword → şifreli parola çalma

Celesty Binder (DarkCoderSc)

  • PDB yolu: C:\Users\DarkCoderSc\Desktop\Celesty Binder\Stub\STATIC\Stub.pdb
  • DarkCoderSc — Celesty Binder'ın Fransız geliştirici yazarı
  • Snake Keylogger bu binder ile paketlenip dağıtılmıştır

Ring3 CRAT x64 (Credential RAT)

  • PDB yolu: C:\Users\W7H64\source\repos\Ring3 CRAT x64\Ring3 CRAT x64\nope.pdb
  • Ring 3 (user-mode) kimlik bilgisi toplama aracı x64

Telegram C2 İletişimi

  • https://api.telegram.org/bot
  • /sendMessage?chat_id= — metin mesaj gönderme
  • /sendDocument?chat_id= — dosya (çalınan veri) gönderme
  • İlk IP: http://checkip.dyndns.org/ — kurbanın IP adresini öğrenme
  • icoremail.net — e-posta sunucusu hedefi

Şifreleme

  • BCrypt kullanımı: BCRYPT_AUTHENTICATED_CIPHER_MODE_INFO
  • RSA: BCRYPT_OAEP_PADDING_INFO, BCRYPT_PSS_PADDING_INFO
  • Çalınan veriler şifreli olarak Telegram'a gönderilmektedir

Ek Bulgular

  • Drop dosyası: YFGGCVyufgtwfyuTGFWTVFAUYVF.exe (rastgele isim)
  • RDP kötüye kullanımı: [experimental] patch Terminal Server service to allow multiples users
  • Minesweeper GitHub bağlantısı (kamuflaj amaçlı gömülü)

Teknik Propiedadler

PropiedadValor
FamilialeriSnake Keylogger + Celesty Binder + Ring3 CRAT x64
Tamaño515.584 bayt
Protocolo C2Telegram Bot API (HTTPS)
IP Tespiticheckip.dyndns.org
ŞifrelemeBCrypt AES + RSA OAEP

IOC Özeti

  • C2: https://api.telegram.org/bot
  • IP Check: http://checkip.dyndns.org/
  • PDB: C:\Users\DarkCoderSc\Desktop\Celesty Binder
  • PDB: C:\Users\W7H64\source\repos\Ring3 CRAT x64
  • SHA256: 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec

Snake Keylogger — Perfil del malware

Snake Keylogger (404 Keylogger olarak da bilinir), .NET ile gelistirilmis cok kanalli bir bilgi hirsizı ve keylogger. SMTP, FTP ve Telegram bot API araciligiyla ceyrilen verileri (sifre, ekran goruntüsü, pano icerik, tus kaydi) exfiltre eder.

Tipo de malware
Infostealer
Lenguaje de programación
.NET (C#)
Protocolo C2
SMTP/FTP/Telegram
Sistemas objetivo
Küresel

Capacidades y comportamiento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (4 indicadores)

IOC — Snake Keylogger
# SHA256 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec # DOMAIN api.telegram.org # DOMAIN checkip.dyndns.org # DOMAIN icoremail.net
TipoValorNota
sha256 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec
domain api.telegram.org
domain checkip.dyndns.org
domain icoremail.net
Etiquetas
snake-keyloggerkeyloggercelesty-binderdarkcodersctelegramc2ring3-cratstealerbcryptrsacredential-theftrdp