Manuel Statik Analiz — CryptBot Stealer | Tehdit: YUKSEK

Datei Kimliği

SHA256a5f54b2b09467a646039328b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dateinameshark2.bin ("shark" — agresif stealer vurgu)
Größe6.039.328 byte (6MB — büyük Delphi binary)
String Sayisi29.161

C2 Domain

x8D8.io  -- .io (Britanya Hint Okyanusu TLD) C2
-- "x" + büyük "8D8" = karışık büyük/küçük harf
-- .io: global developer tercih TLD, az engellenir

Delphi Ekran Yakalama Bileşenleri

poScreenCenter  -- Delphi TPopupMenu ekran merkezi sabitleme
ScreenSnap      -- Delphi ekran yakalama kontrolü
TScreen         -- Delphi global Screen nesnesi
-- CryptBot Delphi ile geliştirilmiş (nadir stealer özelliği)

IOC

SHA256a5f54b2b09467a646039328b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2x8D8.io (.io TLD)

CryptBot2 — Malware-Profil

CryptBot Delphi stealer shark2.bin x8D8.io C2. Browser password crypto wallet. MSH_WHEELSUPPORT Delphi RAD Studio.

Malware-Typ
Infostealer
Programmiersprache
Delphi
C2-Protokoll
HTTP
Zielsysteme
Kuresel

Fähigkeiten & Verhalten

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC-Liste (1 Indikatoren)

IOC — CryptBot2
# DOMAIN x8d8.io
TypWertBemerkung
domain x8d8.io

C2-Server (1 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
x8D8.io domain 443 HTTPS inactive —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
cryptbotshark2-binx8d8-iodelphi-screen-capturepoScreenCenterscreen-snapio-tld