Manuel Statik Analiz — BlackGuard / UnixStealer | Tehdit: KRITIK

파일 Kimliği

SHA2560d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8
파일 이름Build.exe
크기303.617 byte
String Sayisi3.520

Geliştirici PDB İzi

C:\Users\brtig\OneDrive\Desktop\Src\UnixStealer\UnixStealer\obj\Release\UnixStealer.pdb
-- Kullanici adi: brtig
-- Proje adi: UnixStealer (Windows malware icin yaniltici isim)

Telegram C2 -- DOGRULANMIS

https://api.telegram.org/bot[TOKEN]/sendMessage
-- Bot token + sendMessage = Telegram bot C2!

Diger IOC

http://ip-api.com/line/         -- GeoIP konum tespiti
https://api.vimeworld.ru/user/  -- Rus Minecraft API (C2 olabilir)
bhf.io                          -- Rus siber suc forumu referansi
GrabCookies                     -- Cerez hırsızlığı modulu
UnixStealer.Edge / EdgePath     -- Edge tarayici hedefi

IOC

SHA2560d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8
C2Telegram Bot (api.telegram.org)
PDBbrtig / UnixStealer

BlackGuard — 악성코드 프로필

BlackGuard .NET MaaS stealer 2022. $200/ay. 22+ kripto cuzdani. Rus dark web.

악성코드 유형
Infostealer
프로그래밍 언어
C#/.NET
C2 프로토콜
HTTP
대상 시스템
Windows

기술 세부 정보

.NET, HTTPS C2 (Telegram/Discord C2 dead drop da destekli), browser stealer, kripto wallet stealer, VPN/FTP stealer, Discord/Steam token, USB propagation, clipper, screenshot

기능 및 동작

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC 목록 (1 개 지표)

IOC — BlackGuard
# SHA256 0d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8
유형메모
sha256 0d6f87aa18262050daa0eabad676c549459b8e8722a3e5f1c4b9d2e7f0a6b3c8

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
blackguard.shop domain 443 HTTPS active —
5.182.86.125 ip 1337 TCP inactive RU

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
blackguardunixstealertelegram-c2pdb-brtigbhf-forumgeolocation