Manuel Statik Analiz — BlackGuard / UnixStealer | Tehdit: KRITIK
Arquivo Kimliği
| SHA256 | 0d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8 |
|---|---|
| Nome do arquivo | Build.exe |
| Tamanho | 303.617 byte |
| String Sayisi | 3.520 |
Geliştirici PDB İzi
C:\Users\brtig\OneDrive\Desktop\Src\UnixStealer\UnixStealer\obj\Release\UnixStealer.pdb -- Kullanici adi: brtig -- Proje adi: UnixStealer (Windows malware icin yaniltici isim)
Telegram C2 -- DOGRULANMIS
https://api.telegram.org/bot[TOKEN]/sendMessage -- Bot token + sendMessage = Telegram bot C2!
Diger IOC
http://ip-api.com/line/ -- GeoIP konum tespiti https://api.vimeworld.ru/user/ -- Rus Minecraft API (C2 olabilir) bhf.io -- Rus siber suc forumu referansi GrabCookies -- Cerez hırsızlığı modulu UnixStealer.Edge / EdgePath -- Edge tarayici hedefi
IOC
| SHA256 | 0d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8 |
|---|---|
| C2 | Telegram Bot (api.telegram.org) |
| PDB | brtig / UnixStealer |
BlackGuard — Perfil do malware
BlackGuard .NET MaaS stealer 2022. $200/ay. 22+ kripto cuzdani. Rus dark web.
Tipo de malware
Infostealer
Linguagem de programação
C#/.NET
Protocolo C2
HTTP
Sistemas-alvo
Windows
Detalhes técnicos
.NET, HTTPS C2 (Telegram/Discord C2 dead drop da destekli), browser stealer, kripto wallet stealer, VPN/FTP stealer, Discord/Steam token, USB propagation, clipper, screenshot
Capacidades e comportamento
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
Lista IOC (1 indicadores)
IOC — BlackGuard
# SHA256
0d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 0d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8 |
Servidores C2 (2 servidores registrados para esta família)
| Endereço | Tipo | Porta | Protocolo | Status | País |
|---|---|---|---|---|---|
| blackguard.shop | domain | 443 | HTTPS | active | — |
| 5.182.86.125 | ip | 1337 | TCP | inactive | RU |
Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.