Archivo Kimligi
| SHA256 | 0d22384f694f5d080cff4da53c58d8e86f74f11e1a3cd62dbae7efbfa5c2e093 |
|---|---|
| Tamaño | 3.102.048 byte |
| Dis Katman | VB6 Dropper (Project1.vbp) |
| PDB | F*\AC:\Users\TSC\AppData\Roaming\Microsoft\Windows\Templates\Stub\Project1.vbp |
C2: Telegram Bot API Dead-Drop
https://api.telegram.org/bot{TOKEN} <-- Bot token runtime decrypt edilir
/sendDocument?chat_id={CHAT_ID} <-- Dosya gonderimi (toplanan veri)
/sendMessage <-- Durum mesajlari
&chat_id={CHAT_ID} <-- Hedef kanal/grup
VB6 Dropper Ozellikleri
Dis katman VB6 (Visual Basic 6.0) ile yazilmistir. Bu eski dil, bazi modern sandbox'larda davranis analizi yapmayı zorlastririr. PDB yolu gelistiricinin kullanici adinın TSC oldugunu ortaya koymaktadir. Gercek Vidar payload'i bu wrapper icerisinde sifreli olarak bulunmaktadir.
Vidar Yetenekleri
| Kategori | Hedefler |
|---|---|
| Tarayicilar | Chrome, Firefox, Edge, Opera, Brave — sifre, cookie, kredi karti |
| Kripto Cuzdanlar | MetaMask, Exodus, Electrum, Coinbase, Atomic, Trust Wallet |
| 2FA | Authy, Google Authenticator |
| Outlook, Thunderbird | |
| FTP | FileZilla |
| Ekran | Screenshot |
| Sistem | Donanim bilgisi, installed apps listesi |
IOC
| SHA256 | 0d22384f694f5d080cff4da53c58d8e86f74f11e1a3cd62dbae7efbfa5c2e093 |
|---|---|
| C2 Yontemi | Telegram Bot API (api.telegram.org) |
| PDB Dev | TSC (VB6 dropper gelistiricisi) |
| Bot Token | Runtime decrypt (gorulmez) |
Vidar — Perfil del malware
Vidar Stealer, 2018 yilinda Racoon Stealer kaynak kodundan turetilen C++ tabanli bir MaaS infostealer ailesidir. Telegram Bot API dead-drop C2, Steam/Instagram profili ile C2 URL gizleme, kripto cuzdan ve tarayici kimlik bilgisi calma yeteneklerine sahiptir.
Detalles técnicos
C++, HTTP C2 (Telegram dead drop C2 IP alimi da mevcut), SQLite credential extraction, browser form grabber, kripto wallet scraper, screenshot, Discord stealer, custom panel (PHP)
Atribución / Actor de amenaza
Rusca konusulan gelistirici tarafindan yonetilen MaaS platformu. Arkei Stealer'in devami olarak Rusya baglantili gruplarca gelistirilmektedir.
Capacidades y comportamiento
Lista IOC (1 indicadores)
# SHA256
0d22384f694f5d080cff4da53c58d8e86f74f11e1a3cd62dbae7efbfa5c2e093
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 0d22384f694f5d080cff4da53c58d8e86f74f11e1a3cd62dbae7efbfa5c2e093 |
Servidores C2 (5 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| www.pakistani.org | domain | — | HTTP | active | — |
| 185.215.113.31 | ip | 443 | HTTPS | inactive | RU |
| 193.233.20.158 | ip | 80 | HTTP | inactive | RU |
| 45.92.96.136 | ip | 80 | HTTP | inactive | — |
| godebugs.Info | domain | — | HTTP | inactive | — |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.