Manuel Statik Analiz — CryptBot Stealer | Tehdit: YUKSEK

Dosya Kimliği

SHA256a5f54b2b09467a646039328b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıshark2.bin ("shark" — agresif stealer vurgu)
Boyut6.039.328 byte (6MB — büyük Delphi binary)
String Sayisi29.161

C2 Domain

x8D8.io  -- .io (Britanya Hint Okyanusu TLD) C2
-- "x" + büyük "8D8" = karışık büyük/küçük harf
-- .io: global developer tercih TLD, az engellenir

Delphi Ekran Yakalama Bileşenleri

poScreenCenter  -- Delphi TPopupMenu ekran merkezi sabitleme
ScreenSnap      -- Delphi ekran yakalama kontrolü
TScreen         -- Delphi global Screen nesnesi
-- CryptBot Delphi ile geliştirilmiş (nadir stealer özelliği)

IOC

SHA256a5f54b2b09467a646039328b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2x8D8.io (.io TLD)

CryptBot2 — Malware Profile

CryptBot Delphi stealer shark2.bin x8D8.io C2. Browser password crypto wallet. MSH_WHEELSUPPORT Delphi RAD Studio.

Malware Type
Infostealer
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Kuresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — CryptBot2
# DOMAIN x8d8.io
TypeValueNote
domain x8d8.io

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
x8D8.io domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
cryptbotshark2-binx8d8-iodelphi-screen-capturepoScreenCenterscreen-snapio-tld