Manuel Statik Analiz (LLM Okumali) — PrivateLoader | Tehdit: YUKSEK
Файл Kimligi
SHA256 dbd6fcf0495ae49cef1cf8b2f65f0cdcc16b0c4421f60ec88b8922f18aef1dc9
Orijinal Ad winver.exe
Размер 296.960 byte
PrivateLoader Hakkinda
PrivateLoader, 2021 yilinda ortaya cikan ve PPI (Pay-Per-Install) modeliyle calisan C/C++ tabanli bir loaderdir. Saldirganlar bu servisi kullanarak hedef makinalara kendi secimlerine gore payload yuklettirmektedir. Binary agir paketlenmis; C2 gate URL'si runtime'da decrypt edilmektedir.
PrivateLoader ile Yuklenen Bilinen Семействоleri
Семейство Tip
LummaC2 Infostealer (C++)
Vidar Infostealer (C++)
Raccoon V2 Infostealer (C++)
StealC Infostealer (Go)
RedLine Infostealer (.NET)
Cobalt Strike Beacon C2 Framework
SmokeLoader Loader
IOC
SHA256 dbd6fcf0495ae49cef1cf8b2f65f0cdcc16b0c4421f60ec88b8922f18aef1dc9
Lure Adi winver.exe (Windows version tool taklidi)
C2 HTTP gate (sifrelenmis)
PrivateLoader — Профиль вредоносного ПО
PrivateLoader/PrivateLdr. sysmon.exe Sysinternals fake. cJSON C library. Chrome browser targeting.
Тип вредоносного ПО
Loader
Язык программирования
C++
Технические детали
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Возможности и поведение
Kimlik Bilgisi Hırsızlığı
Список IOC
(1 индикаторов)
# SHA256
dbd6fcf0495ae49cef1cf8b2f65f0cdcc16b0c4421f60ec88b8922f18aef1dc9
Тип Значение Примечание
sha256
dbd6fcf0495ae49cef1cf8b2f65f0cdcc16b0c4421f60ec88b8922f18aef1dc9
C2 Серверы
(4 зарегистрированных серверов для этого семейства)
Адрес
Тип
Порт
Протокол
Статус
Страна
45.142.213.167
ip
80
HTTP
inactive
RU
87.251.64.160
ip
80
HTTP
inactive
NL
known2.me
domain
443
HTTPS
inactive
—
45.138.74.63
ip
443
HTTPS
sinkholed
RU
Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.