파일 Kimligi
| SHA256 | 0d22384f694f5d080cff4da53c58d8e86f74f11e1a3cd62dbae7efbfa5c2e093 |
|---|---|
| 크기 | 3.102.048 byte |
| Dis Katman | VB6 Dropper (Project1.vbp) |
| PDB | F*\AC:\Users\TSC\AppData\Roaming\Microsoft\Windows\Templates\Stub\Project1.vbp |
C2: Telegram Bot API Dead-Drop
https://api.telegram.org/bot{TOKEN} <-- Bot token runtime decrypt edilir
/sendDocument?chat_id={CHAT_ID} <-- Dosya gonderimi (toplanan veri)
/sendMessage <-- Durum mesajlari
&chat_id={CHAT_ID} <-- Hedef kanal/grup
VB6 Dropper Ozellikleri
Dis katman VB6 (Visual Basic 6.0) ile yazilmistir. Bu eski dil, bazi modern sandbox'larda davranis analizi yapmayı zorlastririr. PDB yolu gelistiricinin kullanici adinın TSC oldugunu ortaya koymaktadir. Gercek Vidar payload'i bu wrapper icerisinde sifreli olarak bulunmaktadir.
Vidar Yetenekleri
| Kategori | Hedefler |
|---|---|
| Tarayicilar | Chrome, Firefox, Edge, Opera, Brave — sifre, cookie, kredi karti |
| Kripto Cuzdanlar | MetaMask, Exodus, Electrum, Coinbase, Atomic, Trust Wallet |
| 2FA | Authy, Google Authenticator |
| Outlook, Thunderbird | |
| FTP | FileZilla |
| Ekran | Screenshot |
| Sistem | Donanim bilgisi, installed apps listesi |
IOC
| SHA256 | 0d22384f694f5d080cff4da53c58d8e86f74f11e1a3cd62dbae7efbfa5c2e093 |
|---|---|
| C2 Yontemi | Telegram Bot API (api.telegram.org) |
| PDB Dev | TSC (VB6 dropper gelistiricisi) |
| Bot Token | Runtime decrypt (gorulmez) |
Vidar — 악성코드 프로필
Vidar Stealer, 2018 yilinda Racoon Stealer kaynak kodundan turetilen C++ tabanli bir MaaS infostealer ailesidir. Telegram Bot API dead-drop C2, Steam/Instagram profili ile C2 URL gizleme, kripto cuzdan ve tarayici kimlik bilgisi calma yeteneklerine sahiptir.
기술 세부 정보
C++, HTTP C2 (Telegram dead drop C2 IP alimi da mevcut), SQLite credential extraction, browser form grabber, kripto wallet scraper, screenshot, Discord stealer, custom panel (PHP)
귀속 / 위협 행위자
Rusca konusulan gelistirici tarafindan yonetilen MaaS platformu. Arkei Stealer'in devami olarak Rusya baglantili gruplarca gelistirilmektedir.
기능 및 동작
IOC 목록 (1 개 지표)
# SHA256
0d22384f694f5d080cff4da53c58d8e86f74f11e1a3cd62dbae7efbfa5c2e093
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 0d22384f694f5d080cff4da53c58d8e86f74f11e1a3cd62dbae7efbfa5c2e093 |
C2 서버 (이 패밀리에 대해 5개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| www.pakistani.org | domain | — | HTTP | active | — |
| 185.215.113.31 | ip | 443 | HTTPS | inactive | RU |
| 193.233.20.158 | ip | 80 | HTTP | inactive | RU |
| 45.92.96.136 | ip | 80 | HTTP | inactive | — |
| godebugs.Info | domain | — | HTTP | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.