Derin PE Analizi — EncryptionSpyware | Tehdit: YÜKSEK

Dosya Kimliği

SHA2562cf960125358486447a378c9b410169dc93dce2d8ad75cb5aee7789536448929
Boyut1,150,976 byte (PE32 x86, 5 sections)
KütüphaneGömülü OpenSSL (CRYPTOGAMS x86 implementasyonu)

E:\Doc\My work\Encryption PDB: Geliştirici Yolu

ATTRIBUTION: Geliştirici kriptografi projesini kendi makinesinde geliştiriyor!
E:\Doc\My work (C++)\_Git\Encryption\Release\encrypt_win_api.pdb
-- Sürücü: E:\ (ikincil sürücü veya harici disk)
-- Klasör: "My work (C++)" = C++ projeler dizini
-- Git repo: \_Git\Encryption (versiyon kontrollü)
-- Proje: "encrypt_win_api" = Windows API şifreleme kütüphanesi
-- Build: Release (yayın hazır)
-- PDB ismi "encrypt_win_api" + WNet/screenshot fonksiyonları = spyware

api.2ip.ua/geo.json: Kurban IP Coğrafya Profili

https://api.2ip.ua/geo.json
-- 2ip.ua: Ukrayna tabanlı IP coğrafya servisi
-- Kullanım: hedefin public IP'sini ve konumunu tespit et
  GET https://api.2ip.ua/geo.json
  Response: {"ip":"X.X.X.X","country":"TR","city":"Istanbul",...}
-- Amaç:
  1. Kurban profili: ülke, şehir, ISP → C2'ye raporla
  2. Hedef seçici: Türkiye/Rusya/Avrupa → çalışmaya devam
  3. Sandbox tespiti: bilinmeyen IP → sandbox olabilir → dur
-- Dead drop pattern: C2 adresi alınmadan önce kurban tespiti yapılır
-- UuidCreate + UuidToStringW: benzersiz kurban ID oluştur
  → kombinasyon: IP + UUID → kurban tam profili

BitBlt + GetDesktopWindow: Ekran Görüntüsü

GetDesktopWindow  -- masaüstü penceresi
BitBlt            -- piksel kopyala

-- Ekran yakalama döngüsü (periyodik):
  1. GetDesktopWindow() → desktop HWND
  2. GetDC(hwnd) → screen DC
  3. CreateCompatibleBitmap(W, H) → buffer
  4. BitBlt(memDC, 0,0,W,H, screenDC, SRCCOPY) → çek
  5. JPEG encode → C2'ye gönder (UUID ile birlikte)
-- Hedef: banka girişleri, şifreler, hassas belgeler ekranda görüntülenince yakala

WNetOpenEnumW + WNetEnumResourceW: Ağ Paylaşımı Tarama

MPR.dll → WNetOpenEnumW(RESOURCE_GLOBALNET, RESOURCETYPE_DISK, ...)
MPR.dll → WNetEnumResourceW(hEnum, &count, buffer, &bufsize)
MPR.dll → WNetCloseEnum(hEnum)

-- Ağ kaynaklarını listele → her paylaşımı tara
-- Hedef: hassas dosyalar (password.txt, credentials.xlsx, keys/)
-- OpenSSL kütüphanesi: RSA + AES + SHA1 + SHA256
  → topladığı verileri şifreli C2 kanalıyla gönderir

IOC

SHA2562cf960125358486447a378c9b410169dc93dce2d8ad75cb5aee7789536448929
Dev PDBE:\Doc\My work (C++)\_Git\Encryption\Release\encrypt_win_api.pdb
Geoloc URLhttps://api.2ip.ua/geo.json

EncryptionSpyware — Malware Profile

Spyware with embedded OpenSSL. Developer PDB: E:\Doc\My work (C++)\Encryption. Victim IP geolocation via api.2ip.ua/geo.json. BitBlt screenshot. WNetOpenEnumW network share enum. UuidCreate for victim HWID. RSA+AES+SHA crypto.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — EncryptionSpyware
# SHA256 2cf960125358486447a378c9b410169dc93dce2d8ad75cb5aee7789536448929
TypeValueNote
sha256 2cf960125358486447a378c9b410169dc93dce2d8ad75cb5aee7789536448929
Tags
encryptionspywareencryption-spywaree-doc-my-work-cpp-git-encryption-pdb-developer-pathapi-2ip-ua-victim-ip-geolocation-profiling-dead-dropgetdesktopwindow-bitblt-screenshot-screen-capturewnetopenenmw-wnetenumresourcew-network-share-enumerationuuidcreate-uuidtostringw-victim-hwid-unique-identifierrsa-aes-sha1-sha256-multi-crypto-openssl-embeddedwnetcloseemum-network-resource-enumerationopenssl-cryptogams-embedded-librarysend-message-winapi-communication