Bu rehber, gerçek Phemedrone örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (6 hash, 1 IP).

Phemedrone Nedir?

Phemedrone, ilk olarak 2020 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C# programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

Phemedrone, Bilgi Hırsızı (Infostealer) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kişisel verileri toplayan bir bilgi hırsızı (infostealer) olarak sınıflandırılmıştır. Tarayıcı kayıtlı parolaları, çerezler, kripto para cüzdanı verileri ve oturum tokenları bu zararlı yazılımın

Atıf / Tehdit Aktörü: NULL

Teknik Detay: .NET, HTTPS C2 (Telegram bot da kullanilmis), browser stealer, kripto wallet scraper, Telegram/Discord/Steam stealer, clipboard monitor, screenshot, anti-sandbox

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Phemedrone örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
0cb3d1764153b9a3030623c8a3a9a166a23fb15238399270d7022be0cda443bbSHA256NULL
f3a9c8045223ad668db8f15e8ff4a85ad262da603ad8ed11247a469e0622d694SHA256NULL
d5adb611966a10b056fc53bec138ad1dfd319c9d631eeebfcbdb13f101afc8ffSHA256NULL
f9bba25adc0c0506f5833a4ccb3c429e3e460bf194dbc5ab14c78054d7640f9eSHA256NULL
0f9e01f100f9cd8db400504d5994f5c8232c318578bb33b807710289d9ef480cSHA256NULL
94f4be08caae697b20849e2e1e467290MD5NULL
b31f770f36a3a6169d94e72f56dc048fMD5NULL
5a9a7eb3ae570ba2827f9b43f0ca8d8dMD5NULL
7f49f7a154d31e309f1ca0e83e8c6315MD5NULL
eea34c5712ef820615cf10066f19ee96MD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Phemedrone Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen Phemedrone C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.