Hash / InfoWert
SHA256d4b8953c0df572b97552069f96ed89e7469e5593890178bd26522d5a0e0114cf
MD5c74b0f2ed2530bb5fb24a78ff040c26a
SHA10433bd1cd845731390ff83ff22ea28354d840159
ImpHashf34d5f2d4577ed6d9ceec516c1f5a744
Datei Adiphan.dat
Dateitypexe
Größe764,416 bytes
Erstsichtung2026-06-14

Tehdit Wertlendirmesi

Bu ornek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kisisel verileri toplayan bir bilgi hırsızı (infostealer) olarak siniflandirilmistir. Tarayici kayitli parolalar, cerezler, kripto para cüzdani verileri ve oturum tokenlari birincil hedefleridir.

Erkannte Fähigkeiten

  • Tarayici Kimlik Bilgileri
  • Cerez Hirsizligi
  • Kripto Cüzdan
  • 2FA Kodu
  • Sistem Bilgisi

MalwareBazaar-Tags

datexevidar

Analysehinweis

Bu ornek Vidar ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

Vidar — Malware-Profil

Vidar Stealer, 2018 yilinda Racoon Stealer kaynak kodundan turetilen C++ tabanli bir MaaS infostealer ailesidir. Telegram Bot API dead-drop C2, Steam/Instagram profili ile C2 URL gizleme, kripto cuzdan ve tarayici kimlik bilgisi calma yeteneklerine sahiptir.

Malware-Typ
Infostealer
Programmiersprache
C++
C2-Protokoll
HTTP
Zielsysteme
Windows

Technische Details

C++, HTTP C2 (Telegram dead drop C2 IP alimi da mevcut), SQLite credential extraction, browser form grabber, kripto wallet scraper, screenshot, Discord stealer, custom panel (PHP)

Attribution / Bedrohungsakteur

Rusca konusulan gelistirici tarafindan yonetilen MaaS platformu. Arkei Stealer'in devami olarak Rusya baglantili gruplarca gelistirilmektedir.

Fähigkeiten & Verhalten

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC-Liste (2 Indikatoren)

IOC — Vidar
# SHA256 d4b8953c0df572b97552069f96ed89e7469e5593890178bd26522d5a0e0114cf # MD5 c74b0f2ed2530bb5fb24a78ff040c26a
TypWertBemerkung
sha256 d4b8953c0df572b97552069f96ed89e7469e5593890178bd26522d5a0e0114cf
md5 c74b0f2ed2530bb5fb24a78ff040c26a

C2-Server (5 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
www.pakistani.org domain — HTTP active —
185.215.113.31 ip 443 HTTPS inactive RU
193.233.20.158 ip 80 HTTP inactive RU
45.92.96.136 ip 80 HTTP inactive —
godebugs.Info domain — HTTP inactive —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
datexevidar