Manuel Statik Analiz — BlackShades | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Firefox.exe (Firefox tarayıcı taklidi!) |
| Boyut | 818.176 byte (818KB) |
| String Sayisi | 4.852 |
Firefox Tarayıcı Gizlemesi
Gizleme: Firefox kurulum paketi olarak dağıtıldı!
Firefox.exe -- Mozilla Firefox kurulum paketi olarak gizlenmiş -- Şüpheli kaynaktan indirilen "Firefox" = BlackShades dropper -- SQLite3 kütüphanesi gömülü (tarayıcı DB erişimi için)
Firefox Credential Hırsızlığı: moz_logins
CREDENTIAL THEFT: Firefox şifre veritabanı!
SELECT encryptedUsername, encryptedPassword, formSubmitURL FROM moz_logins -- "moz_logins" = Firefox login veritabanı (key4.db ile şifreli) -- encryptedUsername = şifreli kullanıcı adı -- encryptedPassword = şifreli şifre -- formSubmitURL = hangi sitede kullanıldığı -- BlackShades: NSS kütüphanesi ile decrypt ediyor (Mozilla'nın kendi kütüphanesi)
Chrome Credential Hırsızlığı: logins
CREDENTIAL THEFT: Chrome Login Data!
SELECT origin_url, username_value, password_value FROM logins -- "logins" = Chrome Login Data SQLite veritabanı -- origin_url = şifrenin kullanıldığı site -- username_value = kullanıcı adı (açık metin) -- password_value = DPAPI ile şifreli şifre -- BlackShades: CryptUnprotectData() ile DPAPI decrypt -- Hem Firefox hem Chrome → çift hedef
Geliştirici: Stefan (Visual Studio 2013)
C:\Users\Stefan\documents\visual studio 2013\Projects\sqliteProject\Release\sqliteProje[ct.pdb] -- Kullanıcı adı: "Stefan" (Orta Avrupa ismi) -- Visual Studio 2013 (eski IDE — muhtemelen Windows 7 ortamı) -- Proje adı: "sqliteProject" (SQLite kelimesini kullandı — browser DB için)
IOC
| SHA256 | 2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Firefox.exe |
| Hedef DB | moz_logins (Firefox) + logins (Chrome) |
| Geliştirici | Stefan (VS2013) |
BlackShades — Malware Profile
BlackShades. Firefox.exe fake Firefox. Stefan sqliteProject VS2013 PDB. winSync2 mutex. Chrome Login Data SQL.
Malware Type
Infostealer
Programming Language
C++
C2 Protocol
TCP
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — BlackShades
# SHA256
2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |