Manuel Statik Analiz — Phemedrone Stealer | Tehdit: CRITIQUE

Fichier Kimliği

SHA2560cb3d1764153b9a35238399270d7022be0cda443bbb3c5a4f7d0e2b6c9f1a3d6
Nom du fichierWDSecureUtilities(1).exe (SAHTE Windows Defender!)
Taille239.616 byte (234KB)
String Sayisi1.444

WDSecureUtilities.exe: Sahte Windows Defender Yardımcı Programı

SAHTE ARAÇ: Windows Defender kılığında stealer!
WDSecureUtilities(1).exe
-- "WD" = Windows Defender kısaltması
-- "SecureUtilities" = güvenlik yardımcı programı (inandırıcı)
-- "(1)" = tarayıcı indirme sayacı (duplicate dosya)
-- Kullanıcı: "Windows Defender'dan indirilen güvenlik aracı" sanır
-- Gerçek: tüm şifrelerini ve kripto cüzdanlarını çalan stealer!

Key3Database + ParseColdWallets: KeePass + Kripto Hedefleme

HEDEF: KeePass şifre kasası + kripto soğuk cüzdanlar!
<Key3Database>b__0        -- KeePass 3 veritabanı parse metodu
<ParsePasswords>b__0      -- Şifre parse etme
<PasswordsTags>b__0       -- Şifre tag'leri
<ParseColdWallets>b__0    -- Kripto soğuk cüzdan parse!
-- "b__0" = C# derleyicisinin async/lambda metod ismi
-- Key3Database = KeePass 3.x .kdbx veritabanı
-- Phemedrone: KeePass master şifresini veya decrypted DB'yi çalıyor
-- ParseColdWallets: donanım cüzdanı seed phrase hedefleme
  - Trezor, Ledger, BitBox vb. soğuk cüzdan seed'leri
  - "cold wallet" = internet bağlantısı olmayan kripto depolama
  - Seed phrase = cüzdanın tam kontrolü
-- Çifte tehdit: parola + kripto serveti tek saldırıda

NtQuerySystemInformation + NtQueryObject: Çift Anti-Debug

NtQuerySystemInformation + NtQueryObject
-- PikaBot2 ile aynı dual NT anti-debug pattern!
-- Ortak kütüphane veya aynı antianaliz tekniğinin yayılması

IOC

SHA2560cb3d1764153b9a35238399270d7022be0cda443bbb3c5a4f7d0e2b6c9f1a3d6
TaklitWDSecureUtilities.exe (Windows Defender)
HedeflerKeePass 3.x (.kdbx), Kripto soğuk cüzdanlar

Phemedrone — Profil du malware

Phemedrone Stealer C# .NET. KeePass Key3Database + ParseColdWallets crypto cold wallets. Fake WD Secure Utilities.

Type de malware
Infostealer
Langage de programmation
C#
Protocole C2
HTTP
Systèmes ciblés
Windows

Détails techniques

.NET, HTTPS C2 (Telegram bot da kullanilmis), browser stealer, kripto wallet scraper, Telegram/Discord/Steam stealer, clipboard monitor, screenshot, anti-sandbox

Capacités et comportement

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Liste IOC (1 indicateurs)

IOC — Phemedrone
# SHA256 0cb3d1764153b9a35238399270d7022be0cda443bbb3c5a4f7d0e2b6c9f1a3d6
TypeValeurNote
sha256 0cb3d1764153b9a35238399270d7022be0cda443bbb3c5a4f7d0e2b6c9f1a3d6

Serveurs C2 (1 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
89.208.31.197 ip 443 HTTPS inactive NL

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
phemedrone-stealerwdsecureutilities-fake-windows-defenderkey3database-keepass-targetingparsecoldwallets-crypto-cold-walletparsepasswords-passwordstagsntquerysysteminformation-ntqueryobjectcsharp-async-method