Manuel Statik Analiz — Phemedrone Stealer | Tehdit: YUKSEK

文件 Kimliği

SHA2560cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1
文件名WDSecureUtilities(1).exe
大小239.616 byte
String Sayisi1.444

Windows Defender Kamuflajı

Kamuflaj: "WDSecureUtilities" = Windows Defender güvenlik yardımcı programı taklidi!

Discord Token Çalma

<ParseDiscordTokens>b__6_0  -- Discord token ayrıştırma lambdası #1
<ParseDiscordTokens>b__6_1  -- Discord token ayrıştırma lambdası #2
<CookiesTags>b__0           -- Tarayıcı cookie çalma lambdası
-- .NET LINQ lambda metodları ile token/cookie hırsızlığı

Kernel Anti-Sandbox

NtQuerySystemInformation  -- Kernel seviyesinde sistem bilgisi (sandbox tespiti)
NtQueryObject             -- Nesne bilgisi sorgusu (debugger handle tespiti)

Phemedrone Hakkında

Phemedrone, 2024'ten beri aktif C# tabanlı infostealer ailesidir. Windows SmartScreen/Defender bypass açığından (CVE-2023-36025) yararlanmıştır. Discord token, tarayıcı cookie/şifre, kripto cüzdan ve Steam oturumu çalar. Telegram bot C2 kullanır. GitHub üzerinden açık kaynak olarak yayınlanmıştır.

IOC

SHA2560cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1
KamuflajWDSecureUtilities (Windows Defender)
HedefDiscord token + Browser cookie

Phemedrone — 恶意软件档案

Phemedrone Stealer C# .NET. KeePass Key3Database + ParseColdWallets crypto cold wallets. Fake WD Secure Utilities.

恶意软件类型
Infostealer
编程语言
C#
C2协议
HTTP
目标系统
Windows

技术细节

.NET, HTTPS C2 (Telegram bot da kullanilmis), browser stealer, kripto wallet scraper, Telegram/Discord/Steam stealer, clipboard monitor, screenshot, anti-sandbox

能力与行为

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC列表 (1 个指标)

IOC — Phemedrone
# SHA256 0cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1
类型备注
sha256 0cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1

C2服务器 (该家族共有 1 台已记录服务器)

地址 类型 端口 协议 状态 国家
89.208.31.197 ip 443 HTTPS inactive NL

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
phemedroneinfostealerdiscord-tokenscookie-stealwindows-defender-disguisentquery