Manuel Statik Analiz — Observer Stealer | Tehdit: YUKSEK

Dosya Kimliği

SHA25630f91a9f411187ee7c6754c96a8c7ad1fb18ce0d67e2b5a3c8f1d4e7b0c3f6a9
Boyut389.256 byte
String Sayisi5.313

C2 Config Fragmentleri

C2',,     -- C2 sunucu config referansı #1
+C2,,,    -- C2 config referansı #2
in`+,,C2*,,  -- C2 config referansı #3

Mutex ve Anti-Debug

CreateMutexW       -- Tekillik kontrolü (çift enfeksiyon engeli)
IsDebuggerPresent  -- Debugger tespiti

Observer Stealer Hakkında

Observer Stealer, 2023'ten beri aktif Rus siber suç pazarında pazarlanan infostealer ailesidir. Tarayıcı şifresi, kripto cüzdan, Discord token, Telegram oturum ve sistem bilgisi çalar. AMOS (macOS) ile aynı grup tarafından geliştirilmiştir. Telegram botları aracılığıyla çalınan verileri gönderir.

IOC

SHA25630f91a9f411187ee7c6754c96a8c7ad1fb18ce0d67e2b5a3c8f1d4e7b0c3f6a9

ObserverStealer — Malware Profile

Observer Stealer, 2023 Rus siber suç pazarı. AMOS (macOS) ile aynı grup. Discord/Telegram/kripto cüzdan/tarayıcı şifresi.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP/Telegram
Target Systems
Kuresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — ObserverStealer
# SHA256 30f91a9f411187ee7c6754c96a8c7ad1fb18ce0d67e2b5a3c8f1d4e7b0c3f6a9
TypeValueNote
sha256 30f91a9f411187ee7c6754c96a8c7ad1fb18ce0d67e2b5a3c8f1d4e7b0c3f6a9
Tags
observer-stealerinfostealercreatemutexxanti-debugcertum-tls