Manuel Statik Analiz — CryptBot (Delphi) | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | a5f54b2b09467a64603932bc5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f1 |
|---|---|
| Nom du fichier | shark2.bin (ikinci versiyon "shark" kodu adlı payload) |
| Taille | 6.039.328 byte (6MB) |
| String Sayisi | 29.161 |
shark2.bin — İç Kod Adı
shark2.bin -- "shark" = iç kod adı (v1 → v2) -- ".bin" = binary dosya (PE kılıklı değil) -- 6MB → büyük stealer paketi + gömülü kaynaklar -- Delphi ile yazılmış (RAD Studio IDE artifacts)
C2: x8D8.io
C2 Tespit: x8D8.io domain!
x8D8.io -- "x" prefix + "8D8" alfanumerik = obfuskated domain adı -- .io = British Indian Ocean TLD (yaygın C2 TLD) -- CryptBot tipik C2 yapısı: kısa, anlamlı olmayan domain
Delphi RAD Studio Artifact'ları + c2 Substring'ler
MSH_WHEELSUPPORT_MSG -- Delphi scrolling message constant TConversion -- Delphi type conversion class TConversionFormat -- Delphi format dönüşüm türü -- C2 config substring'leri: 262=2c2p2 -- "2c2p2" (P2P + C2 hybrid? port 262?) e}c2x -- "c2x" (C2 execute?) c2t#! -- "c2t" (C2 token?) -- Delphi string encoding: sayılar ve semboller karışık
IOC
| SHA256 | a5f54b2b09467a64603932bc5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f1 |
|---|---|
| C2 | x8D8.io |
| Kılık | shark2.bin (Delphi stealer ikinci versiyon) |
CryptBot2 — Profil du malware
CryptBot Delphi stealer shark2.bin x8D8.io C2. Browser password crypto wallet. MSH_WHEELSUPPORT Delphi RAD Studio.
Type de malware
Infostealer
Langage de programmation
Delphi
Protocole C2
HTTP
Systèmes ciblés
Kuresel
Capacités et comportement
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
Liste IOC (1 indicateurs)
IOC — CryptBot2
# DOMAIN
x8d8.io
| Type | Valeur | Note |
|---|---|---|
| domain | x8d8.io |
Serveurs C2 (1 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| x8D8.io | domain | 443 | HTTPS | inactive | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.