Manuel Statik Analiz — Phemedrone Stealer | Tehdit: YUKSEK

Arquivo Kimliği

SHA2560cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1
Nome do arquivoWDSecureUtilities(1).exe
Tamanho239.616 byte
String Sayisi1.444

Windows Defender Kamuflajı

Kamuflaj: "WDSecureUtilities" = Windows Defender güvenlik yardımcı programı taklidi!

Discord Token Çalma

<ParseDiscordTokens>b__6_0  -- Discord token ayrıştırma lambdası #1
<ParseDiscordTokens>b__6_1  -- Discord token ayrıştırma lambdası #2
<CookiesTags>b__0           -- Tarayıcı cookie çalma lambdası
-- .NET LINQ lambda metodları ile token/cookie hırsızlığı

Kernel Anti-Sandbox

NtQuerySystemInformation  -- Kernel seviyesinde sistem bilgisi (sandbox tespiti)
NtQueryObject             -- Nesne bilgisi sorgusu (debugger handle tespiti)

Phemedrone Hakkında

Phemedrone, 2024'ten beri aktif C# tabanlı infostealer ailesidir. Windows SmartScreen/Defender bypass açığından (CVE-2023-36025) yararlanmıştır. Discord token, tarayıcı cookie/şifre, kripto cüzdan ve Steam oturumu çalar. Telegram bot C2 kullanır. GitHub üzerinden açık kaynak olarak yayınlanmıştır.

IOC

SHA2560cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1
KamuflajWDSecureUtilities (Windows Defender)
HedefDiscord token + Browser cookie

Phemedrone — Perfil do malware

Phemedrone Stealer C# .NET. KeePass Key3Database + ParseColdWallets crypto cold wallets. Fake WD Secure Utilities.

Tipo de malware
Infostealer
Linguagem de programação
C#
Protocolo C2
HTTP
Sistemas-alvo
Windows

Detalhes técnicos

.NET, HTTPS C2 (Telegram bot da kullanilmis), browser stealer, kripto wallet scraper, Telegram/Discord/Steam stealer, clipboard monitor, screenshot, anti-sandbox

Capacidades e comportamento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (1 indicadores)

IOC — Phemedrone
# SHA256 0cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1
TipoValorNota
sha256 0cb3d1764153b9a3e5b2c8a4f7d1e6b3c0f9a2d5e8b1c4f7a0d3e6b9c2f5a8d1

Servidores C2 (1 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
89.208.31.197 ip 443 HTTPS inactive NL

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
phemedroneinfostealerdiscord-tokenscookie-stealwindows-defender-disguisentquery