StealC, statik analizi zorlastiran bir dil olan Go (Golang) ile yazilmistir. Go binary'leri, runtime siniflar ve paket adlari nedeniyle cok sayida gorsel string icermektedir. Bu nedenle, 14.000+ string icerisinden anlamli IOC'lari ayirt etmek zordur. C2 URL'si runtime sifreleme ile gizlenmistir.
Go Runtime Gostergesi
*sync.Mutex | *poll.fdMutex | *runtime.mutex — Go sync primitives
stopm spinning nmidlelocked= needspinning= schedticks= — Go scheduler
runtime.Gosched | malloc deadlock | scan missed a g — Go GC
StealC, 2023 yilinda ortaya cikan Go (Golang) tabanlı bir MaaS infostealer ailesidir. Vidar ve Raccoon kaynak kodundan ilham alinarak gelistirildigi dusunulmektedir. 30+ tarayici, kripto cuzdan, FTP istemcisi, email ve Discord/Telegram token hedefler.
Tipo de malware
Infostealer
Lenguaje de programación
C
Protocolo C2
HTTP
Sistemas objetivo
Windows
Detalles técnicos
C dili, HTTP POST C2, browser stealer (Chromium/Firefox), kripto wallet stealer (50+ tarayici eklentisi), Telegram stealer, Steam, Discord token stealer, fingerprint modulu
Servidores C2
(4 servidores registrados para esta familia)
Dirección
Tipo
Puerto
Protocolo
Estado
País
www.pakistani.org
domain
—
HTTP
active
—
45.87.152.64
ip
80
HTTP
inactive
NL
185.174.137.219
ip
80
HTTP
inactive
RU
godebugs.Info
domain
—
HTTP
inactive
—
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.