Manuel Statik Analiz — CyberStealer | Tehdit: YUKSEK

Arquivo Kimliği

SHA256673243eb584ea8ba1420288b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Nome do arquivoChromeB_test.exe
Tamanho1.420.288 byte (1.4MB)
String Sayisi6.371

Geliştirici Test Binary Sızıntısı

Kritik Bulgu: "_test" suffix → Test aşamasındaki developer binary MalwareBazaar'a karıştı!
ChromeB_test.exe
-- "ChromeB" = Chrome Browser hedefli stealer araç adı
-- "_test" = geliştirici test binary suffix!
-- Test binary'nin production dışı sızmış olması:
   → Geliştiricinin test sistemini taramış bir mağdur var
   → Veya geliştirici test aşamasında MalwareBazaar'a gönderdi
-- Araç adı "ChromeB" iç kullanımda açıkça Chrome Stealer olduğunu gösteriyor

C2 ve Panel İletişimi

https://iloveboats9.vip
-- "iloveboats" + rakam + .vip = dikkat çekici C2 domain
-- Anlamsız görünen domain → DGA veya saldırgan tercihi
-- Panel debug mesajı: [ChromeB] Screenshot data sent to panel!
-- "hwid": + "encrypted_k" = HWID + şifreli anahtar JSON payload

Hedef Veriler

Chrome Browser History  -- tarayıcı geçmişi
"hwid":""              -- Donanım ID (kurban tanımlama)
"encrypted_k"          -- Encrypted cookie/token key
[ChromeB] Screenshot data sent to panel!  -- ekran görüntüsü
-- SQLite indirme: sqlite.org/2024/sqlite-tools-win-x64-3460000.zip
   (Chrome Login Data veritabanını parse etmek için!)

IOC

SHA256673243eb584ea8ba1420288b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2iloveboats9.vip
LureChromeB_test.exe (developer test binary)

CyberStealer — Perfil do malware

CyberStealer ChromeB_test.exe Chrome browser stealer. iloveboats9.vip C2. HWID+ekran+Chrome History+encrypted keys.

Tipo de malware
Infostealer
Linguagem de programação
C#/.NET
Protocolo C2
HTTPS
Sistemas-alvo
Küresel

Capacidades e comportamento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (1 indicadores)

IOC — CyberStealer
# DOMAIN sqlite.org
TipoValorNota
domain sqlite.org

Servidores C2 (1 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
iloveboats9.vip domain 443 HTTPS inactive —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
cyberstealerchromeb-test-exedeveloper-test-buildiloveboats9-vip-c2screenshot-panelchrome-history-stealerhwid-collection