Manuel Statik Analiz (LLM Okumali) — BlueStealer | Tehdit: ORTA

Dosya Kimligi

SHA256219fff9bc7e6bdfeaa1bf2e4a2dff218c6fb7c6bdb5c22e5a7ae68f5e8b3bac1
Yem Dosya Adidocument approval_Pdf.gz
Arsiv TuruGZ (Gzip) — dosya uzantisi PDF olarak maskelenmis
String Sayisi4.185

Dagilim Vektoru

BlueStealer bu ornekte .gz arsivi olarak paketlenmistir. "document approval_Pdf.gz" ismi, isveren/kurumsal onay belgesi gibi gorunmek uzere tasarlanmis klasik sosyal muhendislik teknigidir.

Statik Analiz Sonuclari

Bu ornekte cleartext C2 adresi veya URL bulunamadi. BlueStealer yeni surumlerinde C2 adresini runtime'da sifresini cozerek bellek icinde tutar. Bu nedenle statik string analizi ile C2 tespiti mumkun olmamaktadir.

BlueStealer Yetenekleri (Aile Ozellikleri)

KategoriHedefler
TarayicilarChrome, Firefox, Edge — sifre, cookie, form verileri, kredi karti
Kripto CuzdanlarCoinbase, MetaMask, Exodus, Electrum, Binance, Trust Wallet
ClipboardKripto cuzdan adresi degistirme (Clipper fonksiyonu)
Email/FTPOutlook, Thunderbird, FileZilla
Ekran goruntuleriAktif ekranin screenshot'i

BlueStealer Hakkinda

BlueStealer (aka BlueSteel, Blue Stealer), 2021 yilinda Delphi ile yazilmis bir infostealer ailesidir. Hem klasik credential theft hem de kripto cuzdan clipper ozellikleri barindirmaktadir. Genellikle spear-phishing email ekleri, sahte PDF veya belge goruntulu arsivler araciligiyla dagitilir.

IOC

SHA256219fff9bc7e6bdfeaa1bf2e4a2dff218c6fb7c6bdb5c22e5a7ae68f5e8b3bac1
Yem Adidocument approval_Pdf.gz
C2Runtime sifreli (statik analizde gorulmedi)

BlueStealer — Malware Profile

BlueStealer (aka BlueSteel), 2021 yilinda Delphi ile yazilmis bir MaaS infostealer ailesidir. Tarayici kimlik bilgileri, kripto cuzdan, clipboard hijacking ve ekran goruntusu alma yeteneklerine sahiptir. Genellikle sahte belge (PDF/GZ) arsivleri ile dagitilir.

Malware Type
Infostealer
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Kuresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — BlueStealer
# SHA256 219fff9bc7e6bdfeaa1bf2e4a2dff218c6fb7c6bdb5c22e5a7ae68f5e8b3bac1
TypeValueNote
sha256 219fff9bc7e6bdfeaa1bf2e4a2dff218c6fb7c6bdb5c22e5a7ae68f5e8b3bac1
Tags
bluestealerinfostealergz-arsivikripto-cuzdantarayici-sifresosyal-muhendislik