Manuel Statik Analiz — BlackShades | Tehdit: YUKSEK

Dosya Kimliği

SHA2562f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Dosya AdıFirefox.exe (SAHTE Mozilla Firefox!)
Boyut818.176 byte (799KB)
String Sayisi4.852

C:\Users\Stefan\sqliteProject: Geliştirici PDB + SQLite Kamuflaj

GELİŞTİRİCİ: "Stefan" username + SQLite kamuflaj proje adı!
C:\Users\Stefan\documents\visual studio 2013\Projects\sqliteProject\Release\sqliteProject.pdb
-- "Stefan" = Avrupa kökenli isim (Almanca/Slav)
-- "visual studio 2013" = BlackShades dönemi (2013-2014)
-- "sqliteProject" = proje adı SQLite gibi gösterilmiş!
  - Meşru bir SQLite yardımcı araç gibi görünür
  - CyberGate: "sqlite.dll" ismi (batch 86) — aynı taktik!
  - SQLite kamuflajı: analist "SQLite kütüphanesi" sanabilir
-- 2013 Visual Studio: BlackShades 2014'te çökertilen FBI operasyonu

winSync2: BlackShades Karakteristik Mutex

winSync2
-- "winSync2" = Windows senkronizasyon v2
-- BlackShades'in tanımlayıcı mutex değeri!
-- Sistemde zaten çalışıp çalışmadığını kontrol eder
-- "2" = versiyon numarası (BlackShades v2+)

Chrome Login Data SQL: Tarayıcı Şifre Çalma

firefox.exe  chrome.exe
\AppData\Local\Google\Chrome\User Data\Default\Login Data
SELE[CT...]
-- Chrome Login Data = Chrome'un SQLite şifre veritabanı
-- "SELE" = SELECT SQL sorgusu (kısaltılmış görünüm)
-- SQL: Chrome'un şifreli Login Data DB'sini doğrudan sorgular
-- firefox.exe: hedef süreç listesi (data hook için)

IOC

SHA2562f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
MutexwinSync2
PDBC:\Users\Stefan\sqliteProject (VS2013)

BlackShades — Malware Profile

BlackShades. Firefox.exe fake Firefox. Stefan sqliteProject VS2013 PDB. winSync2 mutex. Chrome Login Data SQL.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
TCP
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — BlackShades
# SHA256 2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
blackshadesfirefox-exe-fake-firefoxstefan-sqliteproject-vs2013-pdbwinsync2-mutex-characteristicchrome-login-data-sql-queryntqueryinformationprocess-triple-anti-debug