Genel Bakış
ChromeB Stealer, iloveboats9.vip adresinde barındırılan özel bir panele bağlanan çok modüllü bir siber casusluk aracıdır. PE32+ (x86-64) formatlı bu GCC derlenmiş binary; parola hırsızlığı, kredi kartı kopyalama, pano korsanlığı (clipper), ekran görüntüsü alma ve tuş kaydı gibi kapsamlı yeteneklere sahiptir.
Teknik Analiz
Panel API Yapısı
Binary, https://iloveboats9.vip adresindeki C2 paneline REST API üzerinden bağlanmaktadır:
/api/chromeb/connect— Ajan kayıt ve kimlik doğrulama/api/chromeb/upload?agentName=— Çalınan verinin yüklenmesi/api/chromeb/commands/— Uzak komut alma/api/chromeb/screenshot— Ekran görüntüsü iletimi/api/chromeb/sysinfo— Sistem bilgisi toplama/api/chromeb/logs-new— Tuş kayıtlarının gönderilmesi/api/chromeb/clipper/— Pano korsanı verisi/api/chromeb/reboot— Uzaktan yeniden başlatma/api/chromeb/download— Arquivo indirme
Tarayıcı Hedefleri ve Şifre Çözme
Stealer; Google Chrome, Brave, Firefox ve Microsoft Edge tarayıcılarını hedeflemektedir. Chrome tabanlı tarayıcılarda şifreler AES-GCM ve DPAPI ile şifrelenmiş olduğundan, bu ikisi kombine edilerek çözülmektedir:
DECRYPTED AUTOFILL DATA— Otomatik doldurma verileriDECRYPTED CVC CODES/GUID | NAME_ON_CARD | EXP_MONTH | EXP_YEAR | DECRYPTED_CARD_NUMBER— Kredi kartı bilgileri- SQLite sorguları:
SELECT origin_url, username_value, hex(password_value),SELECT urls.url, urls.title, urls.visit_count
Çıktı Arquivoları
passwords.db / passwords.txt
cookies.db / cookies_netscape.txt / cookies_output.txt
credit_cards.txt / cvc_codes.txt
autofill.txt / autofill_data.txt / autofill_profiles.txt
clipper_config.txt / clipper_stats.txt
Kripto Cüzdan Hedefleri (Extension Settings)
MetaMask (nkbihfbeogaeaoehlefnkodbefgpgknn), Phantom (bfnaelmomeimhlpmgjnjophhpkkoljpa) ve diğer popüler cüzdan eklentilerinin yerel verileri doğrudan Local Extension Settings dizininden okunmaktadır.
Ek Hedefler
- Telegram Desktop:
AppData\Roaming\Telegram Desktop\tdata - Discord:
AppData\Roaming\discord\Local Storage\leveldb
Anti-AV Tekniği
Binary, tarayıcı süreçlerini kapatmak için /f /im I (taskkill) komutunu kullanmaktadır. Bu, açık tarayıcı dosyalarına erişimde kilidi kaldırmak amacıyla uygulanmaktadır.
xe 2>nul (AV/log yönlendirme)
Teknik Propriedadeler
| Propriedade | Valor |
|---|---|
| Arquitetura | PE32+ (x86-64 Console) |
| Derleyici | GCC (GNU) / MinGW-w64 |
| Şifreleme | AES-GCM + DPAPI |
| Protocolo C2 | HTTPS (REST API) |
| Panel | iloveboats9.vip |
IOC Özeti
- Domain C2:
iloveboats9.vip - API Endpoint:
/api/chromeb/upload?agentName= - SHA256:
673243eb584ea8ba0046d0657c977d51cdaf5781d474b791527d4c26035a7847
Lista IOC (3 indicadores)
# SHA256
673243eb584ea8ba0046d0657c977d51cdaf5781d474b791527d4c26035a7847
# DOMAIN
iloveboats9.vip
# URL
https://iloveboats9.vip/api/chromeb/upload
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 673243eb584ea8ba0046d0657c977d51cdaf5781d474b791527d4c26035a7847 | |
| domain | iloveboats9.vip | |
| url | https://iloveboats9.vip/api/chromeb/upload |