Manuel Statik Analiz — Phemedrone Stealer | Tehdit: YUKSEK

文件 Kimliği

SHA2560cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
文件名WDSecureUtilities(1).exe
大小239.616 byte (.NET)
String Sayisi1.444

Windows Defender Taklit

WDSecureUtilities(1).exe
-- "WD" = Windows Defender kısaltması
-- "SecureUtilities" = güvenlik aracı görünümü
-- "(1)" = indirilen kopya numarası (yaygın dosya ismi)
-- Kullanıcı Windows Defender aracı sanıp çalıştırıyor

NT API Anti-Debug

NtQuerySystemInformation  -- Sistem bilgisi sorgusu (debugger tespiti)
NtQueryObject             -- Nesne bilgisi (breakpoint tespiti)
get_encrypted             -- Şifreli string çözme metodu
#GUID                     -- .NET assembly GUID (C# kaynağı)

IOC

SHA2560cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
KamuflajWDSecureUtilities.exe (Windows Defender gizleme)

Phemedrone — 恶意软件档案

Phemedrone Stealer C# .NET. KeePass Key3Database + ParseColdWallets crypto cold wallets. Fake WD Secure Utilities.

恶意软件类型
Infostealer
编程语言
C#
C2协议
HTTP
目标系统
Windows

技术细节

.NET, HTTPS C2 (Telegram bot da kullanilmis), browser stealer, kripto wallet scraper, Telegram/Discord/Steam stealer, clipboard monitor, screenshot, anti-sandbox

能力与行为

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC列表 (1 个指标)

IOC — Phemedrone
# SHA256 0cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
类型备注
sha256 0cb3d1764153b9a3239616b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62

C2服务器 (该家族共有 1 台已记录服务器)

地址 类型 端口 协议 状态 国家
89.208.31.197 ip 443 HTTPS inactive NL

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
phemedronewdsecureutilities-exewindows-defender-disguisentquerysysteminformationnt-api-anti-debugnet-stealer