Хеш / ИнформацияЗначение
SHA256f3a9c8045223ad668db8f15e8ff4a85ad262da603ad8ed11247a469e0622d694
MD5b31f770f36a3a6169d94e72f56dc048f
SHA1e1a4f34c89100d199b00c2127f8d706375099018
ImpHashf34d5f2d4577ed6d9ceec516c1f5a744
Файл Adib31f770f36a3a6169d94e72f56dc048f.exe
Тип файлаexe
Размер98,816 bytes
Первое обнаружение2024-05-19

Tehdit Значениеlendirmesi

Bu ornek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kisisel verileri toplayan bir bilgi hırsızı (infostealer) olarak siniflandirilmistir. Tarayici kayitli parolalar, cerezler, kripto para cüzdani verileri ve oturum tokenlari birincil hedefleridir.

Обнаруженные возможности

  • Tarayici Kimlik Bilgileri
  • Cerez Hirsizligi
  • Kripto Cüzdan
  • 2FA Kodu
  • Sistem Bilgisi

Метки MalwareBazaar

exeHUNphemedronePhemedroneStealer

Примечание к анализу

Bu ornek Phemedrone ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

Phemedrone — Профиль вредоносного ПО

Phemedrone Stealer C# .NET. KeePass Key3Database + ParseColdWallets crypto cold wallets. Fake WD Secure Utilities.

Тип вредоносного ПО
Infostealer
Язык программирования
C#
C2 Протокол
HTTP
Целевые системы
Windows

Технические детали

.NET, HTTPS C2 (Telegram bot da kullanilmis), browser stealer, kripto wallet scraper, Telegram/Discord/Steam stealer, clipboard monitor, screenshot, anti-sandbox

Возможности и поведение

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Список IOC (2 индикаторов)

IOC — Phemedrone
# SHA256 f3a9c8045223ad668db8f15e8ff4a85ad262da603ad8ed11247a469e0622d694 # MD5 b31f770f36a3a6169d94e72f56dc048f
ТипЗначениеПримечание
sha256 f3a9c8045223ad668db8f15e8ff4a85ad262da603ad8ed11247a469e0622d694
md5 b31f770f36a3a6169d94e72f56dc048f

C2 Серверы (1 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
89.208.31.197 ip 443 HTTPS inactive NL

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
exeHUNphemedronePhemedroneStealer