Manuel Statik Analiz — Stealerium (svchost Gizleme) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 2ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | svchost.exe (Windows Servis Host taklidi!) |
| Boyut | 75.264 byte (çok küçük — ciddi packer) |
| String Sayisi | 147 (son derece obfuskasyon!) |
Geliştirici Parmak İzi
C:\Users\d4ps\source\repos\PdfFile\obj\Release\Pdf Reader.pdb -- Kullanıcı: "d4ps" (kısa takma ad/gamer tag) -- Proje: "PdfFile" (PDF okuyucu taklidi) -- Derleme: Release\Pdf Reader (kullanıcıya gösterilen isim) -- Visual Studio "source\repos" dizini = VS varsayılan
svchost.exe Gizleme
svchost.exe -- Windows Service Host adı (sistem kritik süreç) -- Task Manager'da meşru görünüyor -- Process name whitelist tabanlı güvenlik atlatma -- 75KB: svchost normalde bu kadar küçük değil ama dikkat çekmiyor
IOC
| SHA256 | 2ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| PDB | d4ps / PdfFile / Pdf Reader (geliştirici kimliği) |
| Kamuflaj | svchost.exe (Windows Servis Host taklidi) |
Stealerium — Malware Profile
Stealerium .NET C# open source 2022 GitHub. svchost.exe gizleme. d4ps developer PdfFile.
Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTPS
Target Systems
Kuresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (2 indicators)
IOC — Stealerium
# SHA256
2ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# FILEPATH
C:\Users\d4ps\source\repos\PdfFile\obj\Release\Pdf Reader.pdb
| Type | Value | Note |
|---|---|---|
| sha256 | 2ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | 63-char hash |
| filepath | C:\Users\d4ps\source\repos\PdfFile\obj\Release\Pdf Reader.pdb | PDB gelistirici yolu |