Manuel Statik Analiz — BlackShades | Tehdit: YUKSEK

Dosya Kimliği

SHA2562f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıFirefox.exe (Firefox tarayıcı taklidi!)
Boyut818.176 byte (818KB)
String Sayisi4.852

Firefox Tarayıcı Gizlemesi

Gizleme: Firefox kurulum paketi olarak dağıtıldı!
Firefox.exe
-- Mozilla Firefox kurulum paketi olarak gizlenmiş
-- Şüpheli kaynaktan indirilen "Firefox" = BlackShades dropper
-- SQLite3 kütüphanesi gömülü (tarayıcı DB erişimi için)

Firefox Credential Hırsızlığı: moz_logins

CREDENTIAL THEFT: Firefox şifre veritabanı!
SELECT encryptedUsername, encryptedPassword, formSubmitURL FROM moz_logins
-- "moz_logins" = Firefox login veritabanı (key4.db ile şifreli)
-- encryptedUsername = şifreli kullanıcı adı
-- encryptedPassword = şifreli şifre
-- formSubmitURL = hangi sitede kullanıldığı
-- BlackShades: NSS kütüphanesi ile decrypt ediyor (Mozilla'nın kendi kütüphanesi)

Chrome Credential Hırsızlığı: logins

CREDENTIAL THEFT: Chrome Login Data!
SELECT origin_url, username_value, password_value FROM logins
-- "logins" = Chrome Login Data SQLite veritabanı
-- origin_url = şifrenin kullanıldığı site
-- username_value = kullanıcı adı (açık metin)
-- password_value = DPAPI ile şifreli şifre
-- BlackShades: CryptUnprotectData() ile DPAPI decrypt
-- Hem Firefox hem Chrome → çift hedef

Geliştirici: Stefan (Visual Studio 2013)

C:\Users\Stefan\documents\visual studio 2013\Projects\sqliteProject\Release\sqliteProje[ct.pdb]
-- Kullanıcı adı: "Stefan" (Orta Avrupa ismi)
-- Visual Studio 2013 (eski IDE — muhtemelen Windows 7 ortamı)
-- Proje adı: "sqliteProject" (SQLite kelimesini kullandı — browser DB için)

IOC

SHA2562f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureFirefox.exe
Hedef DBmoz_logins (Firefox) + logins (Chrome)
GeliştiriciStefan (VS2013)

BlackShades — Malware Profile

BlackShades. Firefox.exe fake Firefox. Stefan sqliteProject VS2013 PDB. winSync2 mutex. Chrome Login Data SQL.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
TCP
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — BlackShades
# SHA256 2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
blackshadesfirefox-exe-disguisemoz-logins-firefox-theftchrome-logins-credentialsqlite-credential-querystefan-pdbvs2013ntqueryinformationprocess