MalwareCorp Altyapı Analizi

📝 MalwareCorp Altyapı Analizi – Tehdit İstihbarat Raporu

1. Yönetici Özeti

MalwareCorp, Telegram tabanlı organize bir siber suç altyapısıdır. Grup; malware geliştirme, crypt hizmetleri, C2 frameworkleri ve sahte kripto piyasası botları üzerinden gelir elde etmektedir. Altyapı, hem bilinen zararlı yazılımları (Xworm Stealer, BlackCat, LockBit 3.0) hem de özel RAT/trojan türevlerini (fragtor/dfbpf, fragtor/agnp) kullanmaktadır. Bu rapor, grubun desteklediği bağlantılar, malware türleri, C2 ve MITRE ATT&CK çerçevesindeki TTP’lerini kapsamaktadır.

2. Altyapı Bileşenleri

2.1 Telegram Grupları & Servisleri

MalwareForums Crypt Service Reversers Draining Service ChatGPT JailBreaks

2.2 Marketler

Malware Shop Bot Drainer Market Bot Crypto Scams Bot C2 Frameworks Bot

2.3 Web Altyapısı

url:https://malwarecorp.com/#markets"

C2:https://panelllkaaa.icu/">

3. Malware Örnekleri ve Dosya Analizi

3.1 Bundled Files

Name	File Type	Scanned/Detections
malwaree/dlls/noobf.dll	Win32 DLL	41 / 71
malwaree/dlls/g2m.dll	Win32 DLL	22 / 72
malwaree/Encrypter.exe	Win32 EXE	2 / 72
malwaree/G2M.exe	Win32 EXE	0 / 71
malwaree/library.cpp	C	0 / 63
malwaree/library.h	C++	0 / 63
malwaree/obfuscate.h	C++	0 / 63
malwaree/payload.h	C++	0 / 63

3.2 Dropped Files

Name	File Type	Scanned/Detections
g2m.dll	Win32 DLL	22 / 72
library.h	C++	0 / 63
G2M.exe	Win32 EXE	0 / 71
library.cpp	C	0 / 63
obfuscate.h	C++	0 / 63
noobf.dll	Win32 DLL	41 / 71
payload.h	C++	0 / 63
Encrypter.exe	Win32 EXE	2 / 72
CrackMe.exe	Win32 EXE	6 / 71

3.3 Process / Shell Komutları

C:\Windows\SysWOW64\WerFault.exe -u -p 5584 -s 664
C:\Windows\SysWOW64\WerFault.exe -u -p 7152 -s 632
C:\Windows\system32\cmd.exe /c PAUSE

Processes Terminated

C:\Windows\SysWOW64\7za.exe
C:\Windows\System32\conhost.exe

Processes Tree

5584 - "C:\Windows\system32\rundll32.exe" "C:\Users\\AppData\Local\Temp\malwaree/dlls/g2m.dll",#1
5648 - C:\Windows\SysWOW64\WerFault.exe -u -p 5584 -s 664
7152 - "C:\Users\\AppData\Local\Temp\malwaree/dlls/G2M.exe"
3768 - C:\Windows\SysWOW64\WerFault.exe -u -p 7152 -s 632
3524 - "C:\Users\\AppData\Local\Temp\malwaree/dlls/noobf.dll",#1
6600 - "C:\Users\\AppData\Local\Temp\malwaree/Encrypter.exe"
6836 - C:\Windows\system32\cmd.exe /c PAUSE
2400 - C:\Windows\SysWOW64\unarchiver.exe "C:\Windows\SysWow64\unarchiver.exe" "C:\Users\user\Desktop\malwaree.zip"
6912 - C:\Windows\SysWOW64\7za.exe "C:\Windows\System32\7za.exe" x -pinfected -y -o"C:\Users\user\AppData\Local\Temp\h452owxd.k2s" "C:\Users\user\Desktop\malwaree.zip"
6120 - C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1

4. MITRE ATT&CK TTP’leri

• Initial Access (TA0001): T1566.001, T1195
• Execution (TA0002): T1059, T1204
• Persistence (TA0003): T1136
• Privilege Escalation (TA0004): T1190, T1068
• Defense Evasion (TA0005): T1203, T1211, T1027.004
• Command & Control (TA0011): T1071, T1071.001, T1573
• Exfiltration (TA0010): T1048
• Impact (TA0040): T1565, T1098

3. Malware Örnekleri ve Detaylı Açıklamalar

3.1 builder.exe (Behavioral)

SHA-256: 5051ef6c6b44de0e1cc0c9c822199fd045ce2c039b2481d91856947c216f8983

Açıklama: UPX ile paketlenmiş, process discovery ve WriteProcessMemory kullanımı tespit edilmiş. C2 trafiği gözlemlenememiş.

MITRE TTP: Execution (T1059, T1204), Discovery (T1614.001)

Özellikler: Windows process injection, stealth behavior, payload builder

3.2 Xworm 5.6 (Static)

SHA-256: 67c0cf5ab5ca0b7fe5ac65158925389f09b0fdfc…

Açıklama: JS modüller içerir: RDP, VNC, Clipper, DDoS, dosya arama ve FTP transferi. Modular yapısı sayesinde çeşitli RAT davranışlarını destekler.

MITRE TTP: Command & Control (T1071, T1071.001), Exfiltration (T1048)

C2: Şifreli kanal üzerinden kontrol, modular payload

3.3 BlackCat_Config.exe

SHA-256: f66f7ed98ea839175949bd6148be4277a4d566aa…

Açıklama: Konfigürasyon dosyası içerir; Tor onion adresi, kullanıcı adı/şifre, payload rename özelliği. Ransomware davranışı: dosya şifreleme + fidye notu.

MITRE TTP: Impact (T1565), Persistence (T1136), Defense Evasion (T1211)

C2: Onion URL üzerinden iletişim

3.4 LockBit 3.0 bundle

SHA-256: 1d6561c4714fadf16bcfb244a5444a959a953424…

Açıklama: Config ve builder dosyaları içerir. Signed değil, unsigned binaries. Ağ keşif, şifreleme ve propagation modülleri içerir.

MITRE TTP: Privilege Escalation (T1068), Defense Evasion (T1203, T1027.004)

C2: Fragtunnel üzerinden şifreli iletişim

4. MITRE ATT&CK TTP’leri

Grubun TTP’leri detaylı şekilde:

• Initial Access (TA0001): T1566.001, T1195
• Execution (TA0002): T1059, T1204
• Persistence (TA0003): T1136
• Privilege Escalation (TA0004): T1190, T1068
• Defense Evasion (TA0005): T1203, T1211, T1027.004
• Command & Control (TA0011): T1071, T1071.001, T1573
• Exfiltration (TA0010): T1048
• Impact (TA0040): T1565, T1098

📝 Telegram Grup Planları ve Teklifler

1. Hedef Satış ve Wallet Planları

İletişim: @G_0_JK

Grup Linki: https://t.me/+3xBlwNGdUbUzMGMx

Ürün: Fake Phantom Wallet

Özellikler:

• Hesap adını değiştirme
• Bakiye değiştirme
• Token ekleme ve miktar değiştirme
• SOL, BTC, ETH, USDC, SUI ekleme
• PC ve telefon üzerinde çalışabilir

Ödeme/Guvenlik: Escrow kabul ediliyor. Satın almak için: @developersol

2. Cashout ve Banka Transfer Planları

Metotlar:

• Wire/ACH/BillPay/Balance Transfer USA, CashApp
• INTERAC Canada
• PayPal (Goods & Services / Friends & Family)
• Almanya DE IBAN (Sepa Instant)
• Italy, Spain, Switzerland, UK IBAN

3. Kart ve Hesap Satışları

Kartlar: Avrupa, Asya, ABD, Kanada, Avustralya

Aged Facebook ID’ler: 2007, 2009, 2011, 2013 gibi yaşlı hesaplar

Google Ads Hesapları: Her geo, doğrulanmış, harcama yapılabilir. Satın almak için DM

Diğer: Banka hesapları, NonVBV kartlar ve kampanya çalıştırma servisi

4. Notlar ve Genel Planlar

• Sol ve ETH coinleri + source code sağlanıyor.
• Büyük miktarda kart toplu satışı mevcut.
• Hedef hesap ve token yönetimi ile fake wallet manipülasyonu.
• Google Ads kampanya ve ödeme çözümleriyle bağlantılı finansal operasyon planları.

Saldırganların Diğer Projeleri & Kanallar

Private

• Malware Private Bot: t.me/MalwarePrivateBot

Channels

• Malware Corp: t.me/+AuVNpVQGzug4ODBi
• Drainer Service: t.me/+-ComKZE_iK9lZDYy
• Crypters: t.me/+-Korrej8EOdjZTEy
• C2 Frameworks: t.me/+Gt306gYY29k4NjJi
• Ransom Service: t.me/+JACFuYvhAqZhOTZk
• Exploit Service: t.me/+xu2uSRA_17NlZTdk
• Rat Software: t.me/+RmJGr7Ih42VjZTUy
• Stealer Store: t.me/+MIVZui2hUWU0ZDQy
• Android Botnets: t.me/+JzSQ_uAdYDZhM2Vi
• iOS Malware: t.me/+DZLjPPMhDr0xZTQ0
• Data Cloud: t.me/+WusI9tBkBAdkZDM6
• Crypto Wares: t.me/+WpSnt41xHSljYTVi
• Crack Cloud: t.me/+NIrQOeX3-yIwMjRi
• Malware News: t.me/MalwareNews
• Malware Escrow: t.me/MalwareGarant

Shops

• Malware Shop: t.me/MalwareShopRobot
• Drainer Market: t.me/DrainerMarketsBot
• C2 Shop: t.me/C2ShopBot
• Crypto Scams: t.me/CryptoScamsBot

Groups

• Malware Forums: t.me/+hIbyfRb8bGY5Mzgy
• Crypt Service: t.me/+nzusA_2E7N44NTZk

🛡️ MalwareCorp Temel Metotları

1️⃣ Fake Wallet / Token Manipülasyonları

Açıklama: Grup, kullanıcı hesap adlarını değiştirir, wallet bakiyesini manipüle eder ve kullanıcıya sahte bakiye gösterir.

• Kullanıcı Adı Değiştirme
• Wallet Bakiyesi Değiştirme
• Token / Crypto Ekleme
• PC ve mobil platform desteği

2️⃣ C2 / RAT Metotları

Açıklama: Malware, C2 sunucusuna bağlanır ve hedef cihaz üzerinde komutlar çalıştırır. Ransomware veya stealer operasyonları için kontrol sağlar.

• Sunucu ile bağlantı kurma
• Komut çalıştırma / Payload indirme
• Persistence / Registry ve Startup ekleme
• Privilege Escalation / Yetki yükseltme

3️⃣ Ransomware Metotları

Açıklama: LockBit 3.0 mantığında çalışır, ek payloadlar içerir ve hedef cihazda çalıştırılır.

• Dosya şifreleme
• Fidye notu oluşturma ve TOR/HTTPS linkleri ile iletişim
• Double extortion (veri sızdırma + şifreleme)
• Ek payloadları indirme ve çalıştırma

4️⃣ Stealer Metotları

Açıklama: Xworm, BlackCat, LockBit, CelestialRAT gibi malware örnekleri tarayıcı, mail, kripto cüzdan gibi bilgileri çalar ve web panel üzerinden yönetilir.

• Tarayıcı / Mail / Kripto bilgilerini çalma
• Clipboard monitor / Adres yönlendirme
• C2 panel üzerinden yönetim

5️⃣ Bundled Malware Metotları

Açıklama: Belirli paketler açıldığında başlar. Geri kalan işlemler injection, registry ekleme vb. ile devam eder.

• Self-unpack / Paket açma
• DLL ve EXE injekte etme
• Registry ve Startup ekleme
• Ek payload çalıştırma

6️⃣ Cüzdan ve Para Alma Metotları

Açıklama: Kullanıcı cüzdan adresini kopyaladığında yakalar, kendi adresiyle değiştirir. Kendi .apk’si aracılığıyla banka uygulamalarıymış gibi para gönderir ve iletişime geçer. ABD, Kanada ve Avrupa hesaplarından transfer yapılır. Escrow ile bazı satışlar yürütülür, iz bırakılmaz.

• ClipboardMonitor() / Adres yönlendirme
• Bank account cash-out (Wire/ACH/IBAN/PayPal vb.)
• Crypto Exfiltration / Blockchain üzerinden
• Escrow kullanımı ile iz bırakmama

5. Değerlendirme

MalwareCorp, çok katmanlı bir siber suç ekosistemi kurmuştur. Hem pazar yerleri hem de doğrudan operasyon C2 altyapısı mevcut. Kazanç modeli: fidye + kripto cüzdan hırsızlığı. 0day/NDAY exploitleri kernel seviyesinde kullanılıyor. Telegram üzerinden müşteri çekiyor ve modüler malware servisleri sunuyor.