Manuel Statik Analiz (LLM Okumali) — PrivateLoader | Tehdit: YUKSEK

Файл Kimligi

SHA256ea096956563a39486203fb29d70cde41840da92d1da5d48e8f4fd72b3ceafc1f
Файл Adisysmon.exe (Sysinternals Sysmon kamuflaj)
Размер401.920 byte
String Sayisi2.599

Kamuflaj Stratejisi

LOTL (Living off the Land): sysmon.exe ismi, Microsoft Sysinternals'in legitim guvenlik aracinin adini taklit eder. Sistem yoneticileri ve AV'ler bu isme guvenerek islemin analiz edilmesini atlayabilir.

Hedefler

chrome, chrome.dll, chrome_elf.dll, chrome.exe
-- Google Chrome kullanici veritabani ve cookie hedefleniyor

PrivateLoader Hakkinda

PrivateLoader, 2021 yilindan beri aktif olan bir Pay-Per-Install (PPI) loader hizmetidir. Underground piyasada satilan bu hizmet, musterilerin istedikleri payload'lari kurban sistemlerine yukleme kapasitesi saglar. Hedef sistemde ilk kez calistirildiktan sonra sifrelenmis C2 ile iletisim kurar ve ikinci asama payload (RedLine, Raccoon, Vidar, vb.) indirir.

IOC

SHA256ea096956563a39486203fb29d70cde41840da92d1da5d48e8f4fd72b3ceafc1f
Kamuflajsysmon.exe (Sysinternals taklidı)
HedefChrome DLL

PrivateLoader — Профиль вредоносного ПО

PrivateLoader/PrivateLdr. sysmon.exe Sysinternals fake. cJSON C library. Chrome browser targeting.

Тип вредоносного ПО
Loader
Язык программирования
C++
C2 Протокол
HTTP
Целевые системы
Windows

Технические детали

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (1 индикаторов)

IOC — PrivateLoader
# SHA256 ea096956563a39486203fb29d70cde41840da92d1da5d48e8f4fd72b3ceafc1f
ТипЗначениеПримечание
sha256 ea096956563a39486203fb29d70cde41840da92d1da5d48e8f4fd72b3ceafc1f

C2 Серверы (4 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
45.142.213.167 ip 80 HTTP inactive RU
87.251.64.160 ip 80 HTTP inactive NL
known2.me domain 443 HTTPS inactive —
45.138.74.63 ip 443 HTTPS sinkholed RU

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
privateloadersysmonchromelotlpay-per-installloaderkamuflaj