Manuel Statik Analiz — CryptBot Stealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | a5f54b2b09467a646039328b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | shark2.bin ("shark" — agresif stealer vurgu) |
| Boyut | 6.039.328 byte (6MB — büyük Delphi binary) |
| String Sayisi | 29.161 |
C2 Domain
x8D8.io -- .io (Britanya Hint Okyanusu TLD) C2 -- "x" + büyük "8D8" = karışık büyük/küçük harf -- .io: global developer tercih TLD, az engellenir
Delphi Ekran Yakalama Bileşenleri
poScreenCenter -- Delphi TPopupMenu ekran merkezi sabitleme ScreenSnap -- Delphi ekran yakalama kontrolü TScreen -- Delphi global Screen nesnesi -- CryptBot Delphi ile geliştirilmiş (nadir stealer özelliği)
IOC
| SHA256 | a5f54b2b09467a646039328b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | x8D8.io (.io TLD) |
CryptBot2 — Malware Profile
CryptBot Delphi stealer shark2.bin x8D8.io C2. Browser password crypto wallet. MSH_WHEELSUPPORT Delphi RAD Studio.
Malware Type
Infostealer
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Kuresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — CryptBot2
# DOMAIN
x8d8.io
| Type | Value | Note |
|---|---|---|
| domain | x8d8.io |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| x8D8.io | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.