Manuel Statik Analiz — CryptBot (Delphi) | Tehdit: YUKSEK

Dosya Kimliği

SHA256a5f54b2b09467a64603932bc5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f1
Dosya Adıshark2.bin (ikinci versiyon "shark" kodu adlı payload)
Boyut6.039.328 byte (6MB)
String Sayisi29.161

shark2.bin — İç Kod Adı

shark2.bin
-- "shark" = iç kod adı (v1 → v2)
-- ".bin" = binary dosya (PE kılıklı değil)
-- 6MB → büyük stealer paketi + gömülü kaynaklar
-- Delphi ile yazılmış (RAD Studio IDE artifacts)

C2: x8D8.io

C2 Tespit: x8D8.io domain!
x8D8.io
-- "x" prefix + "8D8" alfanumerik = obfuskated domain adı
-- .io = British Indian Ocean TLD (yaygın C2 TLD)
-- CryptBot tipik C2 yapısı: kısa, anlamlı olmayan domain

Delphi RAD Studio Artifact'ları + c2 Substring'ler

MSH_WHEELSUPPORT_MSG   -- Delphi scrolling message constant
TConversion            -- Delphi type conversion class
TConversionFormat      -- Delphi format dönüşüm türü
-- C2 config substring'leri:
262=2c2p2   -- "2c2p2" (P2P + C2 hybrid? port 262?)
e}c2x       -- "c2x" (C2 execute?)
c2t#!       -- "c2t" (C2 token?)
-- Delphi string encoding: sayılar ve semboller karışık

IOC

SHA256a5f54b2b09467a64603932bc5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f1
C2x8D8.io
Kılıkshark2.bin (Delphi stealer ikinci versiyon)

CryptBot2 — Malware Profile

CryptBot Delphi stealer shark2.bin x8D8.io C2. Browser password crypto wallet. MSH_WHEELSUPPORT Delphi RAD Studio.

Malware Type
Infostealer
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Kuresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — CryptBot2
# DOMAIN x8d8.io
TypeValueNote
domain x8d8.io

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
x8D8.io domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
cryptbotshark2-bindelphi-stealerx8d8-io-c2c2-substring-2c2p2delphi-rad-studiomsh-wheelsupporttconversion