Manuel Statik Analiz — PhemedroneStealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 0cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | WDSecureUtilities(1).exe ("WD" = Windows Defender taklidi!) |
| Boyut | 239.616 byte (239KB) |
| String Sayisi | 1.444 |
Windows Defender Taklidi
Sosyal Mühendislik: Güvenlik yazılımı görünümü!
WDSecureUtilities(1).exe -- "WD" = Windows Defender veya Western Digital (her ikisi de güvenilir) -- "SecureUtilities" = güvenlik aracı gibi görünüyor -- "(1)" = duplicate numarası — indirme history'sinden gelen kopya -- Kurban: WD güvenlik aracı zannederek açıyor -- NtQuerySystemInformation + NtQueryObject = kernel-level anti-debug
Firefox Key3Database: Şifre Veritabanı Hırsızlığı
Credential Theft: Firefox şifreleme anahtarı!
<Key3Database>b__0 -- Firefox legacy key3.db (NSS key store) <ParseMasterKey>b__0 -- Firefox master password çözme! <ParsePasswords>b__0 -- Kayıtlı şifreleri ayrıştırma <PasswordsTags>b__0 -- Şifre etiketleri -- "b__0" suffix = .NET async lambda (async Task) -- Firefox key3.db → NSS (Network Security Services) şifreli depo -- Master password varsa: PBKDF2 → AES → decrypt -- Tüm Firefox şifrelerini çıkarabiliyor!
SHA256 Config Hash
8688D249E9D047B4FC2FB89CE05AFE9EC89252FFCCDD969DE6EEF260DD7FFB21 -- 64 hex karakter = SHA256 hash -- PhemedroneStealer config doğrulama hash'i -- Muhtemelen C2 sunucu sertifikası SHA256 fingerprint'i -- F9CD20F9BE4EBA8920C2 = 20 hex byte (C2 referans içeren)
IOC
| SHA256 | 0cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Config Hash | 8688D249E9D047B4FC2FB89CE05AFE9EC89252FFCCDD969DE6EEF260DD7FFB21 |
| Lure | WDSecureUtilities(1).exe (Windows Defender taklidi) |
PhemedroneStealer2 — Malware Profile
PhemedroneStealer C# NET. WDSecureUtilities WD taklidi. Firefox Key3Database ParseMasterKey. NtQuerySystemInformation.
Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTPS
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — PhemedroneStealer2
# SHA256
8688d249e9d047b4fc2fb89ce05afe9ec89252ffccdd969de6eef260dd7ffb21
| Type | Value | Note |
|---|---|---|
| sha256 | 8688d249e9d047b4fc2fb89ce05afe9ec89252ffccdd969de6eef260dd7ffb21 |