Manuel Statik Analiz — NetWire RAT | Tehdit: YUKSEK

Arquivo Kimligi

SHA25673cf4c1de3510d40e4bfed23427d451ea32fefe1406e9aff0e8a50d7b0c0ea48
Tamanho169.472 byte
String Sayisi1.016

GeoIP Kontrolu

http://www.yandex.com   -- GeoIP / kurban lokasyon tespiti

Chrome Kimlik Bilgisi Calma

%s\Google\Chrome\User Data\Default\Login Data
-- Google Chrome sifreli parola veritabani
encryptedPassword, encryptedUsername, encrypted_key

NetWire Protokol

HostId, Host: %s        -- NetWire C2 protocol header
T4 C2W                  -- C2 sekman isareti

IOC

SHA25673cf4c1de3510d40e4bfed23427d451ea32fefe1406e9aff0e8a50d7b0c0ea48
ChromeLogin Data hedefi
Geo Checkhttp://www.yandex.com

NetWire — Perfil do malware

NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.

Tipo de malware
RAT
Linguagem de programação
C
Protocolo C2
TCP
Sistemas-alvo
Windows/Linux/macOS

Capacidades e comportamento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (1 indicadores)

IOC — NetWire
# SHA256 73cf4c1de3510d40e4bfed23427d451ea32fefe1406e9aff0e8a50d7b0c0ea48
TipoValorNota
sha256 73cf4c1de3510d40e4bfed23427d451ea32fefe1406e9aff0e8a50d7b0c0ea48
Tags
netwireratchromecredential-theftyandex-geoiphostid