Genel Bakış

ChromeB Stealer, iloveboats9.vip adresinde barındırılan özel bir panele bağlanan çok modüllü bir siber casusluk aracıdır. PE32+ (x86-64) formatlı bu GCC derlenmiş binary; parola hırsızlığı, kredi kartı kopyalama, pano korsanlığı (clipper), ekran görüntüsü alma ve tuş kaydı gibi kapsamlı yeteneklere sahiptir.

Teknik Analiz

Panel API Yapısı

Binary, https://iloveboats9.vip adresindeki C2 paneline REST API üzerinden bağlanmaktadır:

  • /api/chromeb/connect — Ajan kayıt ve kimlik doğrulama
  • /api/chromeb/upload?agentName= — Çalınan verinin yüklenmesi
  • /api/chromeb/commands/ — Uzak komut alma
  • /api/chromeb/screenshot — Ekran görüntüsü iletimi
  • /api/chromeb/sysinfo — Sistem bilgisi toplama
  • /api/chromeb/logs-new — Tuş kayıtlarının gönderilmesi
  • /api/chromeb/clipper/ — Pano korsanı verisi
  • /api/chromeb/reboot — Uzaktan yeniden başlatma
  • /api/chromeb/download — Dosya indirme

Tarayıcı Hedefleri ve Şifre Çözme

Stealer; Google Chrome, Brave, Firefox ve Microsoft Edge tarayıcılarını hedeflemektedir. Chrome tabanlı tarayıcılarda şifreler AES-GCM ve DPAPI ile şifrelenmiş olduğundan, bu ikisi kombine edilerek çözülmektedir:

  • DECRYPTED AUTOFILL DATA — Otomatik doldurma verileri
  • DECRYPTED CVC CODES / GUID | NAME_ON_CARD | EXP_MONTH | EXP_YEAR | DECRYPTED_CARD_NUMBER — Kredi kartı bilgileri
  • SQLite sorguları: SELECT origin_url, username_value, hex(password_value), SELECT urls.url, urls.title, urls.visit_count

Çıktı Dosyaları

passwords.db / passwords.txt
cookies.db / cookies_netscape.txt / cookies_output.txt
credit_cards.txt / cvc_codes.txt
autofill.txt / autofill_data.txt / autofill_profiles.txt
clipper_config.txt / clipper_stats.txt

Kripto Cüzdan Hedefleri (Extension Settings)

MetaMask (nkbihfbeogaeaoehlefnkodbefgpgknn), Phantom (bfnaelmomeimhlpmgjnjophhpkkoljpa) ve diğer popüler cüzdan eklentilerinin yerel verileri doğrudan Local Extension Settings dizininden okunmaktadır.

Ek Hedefler

  • Telegram Desktop: AppData\Roaming\Telegram Desktop\tdata
  • Discord: AppData\Roaming\discord\Local Storage\leveldb

Anti-AV Tekniği

Binary, tarayıcı süreçlerini kapatmak için /f /im I (taskkill) komutunu kullanmaktadır. Bu, açık tarayıcı dosyalarına erişimde kilidi kaldırmak amacıyla uygulanmaktadır.

xe 2>nul (AV/log yönlendirme)

Teknik Özellikler

ÖzellikDeğer
MimariPE32+ (x86-64 Console)
DerleyiciGCC (GNU) / MinGW-w64
ŞifrelemeAES-GCM + DPAPI
C2 ProtokolüHTTPS (REST API)
Paneliloveboats9.vip

IOC Özeti

  • Domain C2: iloveboats9.vip
  • API Endpoint: /api/chromeb/upload?agentName=
  • SHA256: 673243eb584ea8ba0046d0657c977d51cdaf5781d474b791527d4c26035a7847

IOC Listesi (3 gösterge)

IOC — ChromeB Stealer
# SHA256 673243eb584ea8ba0046d0657c977d51cdaf5781d474b791527d4c26035a7847 # DOMAIN iloveboats9.vip # URL https://iloveboats9.vip/api/chromeb/upload
TürDeğerNot
sha256 673243eb584ea8ba0046d0657c977d51cdaf5781d474b791527d4c26035a7847
domain iloveboats9.vip
url https://iloveboats9.vip/api/chromeb/upload
Etiketler
stealerbrowserchromebravefirefoxcredentialscredit-cardclipboard-hijackerkeyloggerscreenshotdpapiaes-gcmtelegramdiscord