Manuel Statik Analiz — PhemedroneStealer | Tehdit: YUKSEK

Dosya Kimliği

SHA2560cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıWDSecureUtilities(1).exe ("WD" = Windows Defender taklidi!)
Boyut239.616 byte (239KB)
String Sayisi1.444

Windows Defender Taklidi

Sosyal Mühendislik: Güvenlik yazılımı görünümü!
WDSecureUtilities(1).exe
-- "WD" = Windows Defender veya Western Digital (her ikisi de güvenilir)
-- "SecureUtilities" = güvenlik aracı gibi görünüyor
-- "(1)" = duplicate numarası — indirme history'sinden gelen kopya
-- Kurban: WD güvenlik aracı zannederek açıyor
-- NtQuerySystemInformation + NtQueryObject = kernel-level anti-debug

Firefox Key3Database: Şifre Veritabanı Hırsızlığı

Credential Theft: Firefox şifreleme anahtarı!
<Key3Database>b__0       -- Firefox legacy key3.db (NSS key store)
<ParseMasterKey>b__0    -- Firefox master password çözme!
<ParsePasswords>b__0    -- Kayıtlı şifreleri ayrıştırma
<PasswordsTags>b__0     -- Şifre etiketleri
-- "b__0" suffix = .NET async lambda (async Task)
-- Firefox key3.db → NSS (Network Security Services) şifreli depo
-- Master password varsa: PBKDF2 → AES → decrypt
-- Tüm Firefox şifrelerini çıkarabiliyor!

SHA256 Config Hash

8688D249E9D047B4FC2FB89CE05AFE9EC89252FFCCDD969DE6EEF260DD7FFB21
-- 64 hex karakter = SHA256 hash
-- PhemedroneStealer config doğrulama hash'i
-- Muhtemelen C2 sunucu sertifikası SHA256 fingerprint'i
-- F9CD20F9BE4EBA8920C2 = 20 hex byte (C2 referans içeren)

IOC

SHA2560cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Config Hash8688D249E9D047B4FC2FB89CE05AFE9EC89252FFCCDD969DE6EEF260DD7FFB21
LureWDSecureUtilities(1).exe (Windows Defender taklidi)

PhemedroneStealer2 — Malware Profile

PhemedroneStealer C# NET. WDSecureUtilities WD taklidi. Firefox Key3Database ParseMasterKey. NtQuerySystemInformation.

Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTPS
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — PhemedroneStealer2
# SHA256 8688d249e9d047b4fc2fb89ce05afe9ec89252ffccdd969de6eef260dd7ffb21
TypeValueNote
sha256 8688d249e9d047b4fc2fb89ce05afe9ec89252ffccdd969de6eef260dd7ffb21
Tags
phemedronewdsecureutilities-wd-disguisewindows-defender-fakefirefox-key3databaseparsemasterkeyparsepaswordssha256-config-hashntquerysysteminformation