🔴 恶意 — Rust Infostealer | ChromeLevator | Meow 家族 (苏联)

341ab263fc6bd4ce4ddaf6c82132fbfcfe7fc8801def0ccc6dbe2c5f6d071a60

MD5 b9111cac752e80b064e779d06fbb2bad | 大小 2,565,120 bytes (2.4 MB) | 来源 2026-06-03.zip | 分析日期 2026-06-24 14:00 UTC

RustChromeLevatorMeowInfostealerC2: 136.243.152.105BIP39Discord

90%

置信度评分

Meow / ChromeLevator (⚠️ .su TLD 推断)

§1 样本概要 §2 分类与情报 ★ §3 持久化 ★ §3b C2 架构 §4 结构分析 §5 反汇编行为 ★ §6 家族分析 ★ §7 深度行为 ★ §8 恶意性判定 §9 ATT&CK §10 反分析技术 §11 逆向分析 ★ §12 QEMU 动态 §13 IOC 汇总 §14 最终判定

§1 📋 样本概要信息

SHA256

341ab263fc6bd4ce4ddaf6c82132fbfcfe7fc8801def0ccc6dbe2c5f6d071a60

MD5

b9111cac752e80b064e779d06fbb2bad

文件大小

2,565,120 bytes (2.4 MB)

文件类型

PE32+ executable (console) x86-64, for MS Windows

目标架构

x86_64 (AMD64)

位宽

64-bit

字节序

Little Endian

编译器

Rust (x86_64-pc-windows-msvc) — chromelevator 项目

链接方式

静态链接

加壳/保护

无 (Rust 原生编译, .text 熵值 7.43)

入口点

0x1000

编译时间戳

1780456938 (2026-06-03 03:22:18 UTC)

子系统

3 (IMAGE_SUBSYSTEM_WINDOWS_CUI — 控制台)

数字签名

无数字签名

📌 概要
Rust 编译的 ChromeLevator 信息窃取器 (chromelevator 项目), 集成 Meow 扫描器。窃取: Chrome/Edge 凭据 (App-Bound Key + BCryptDecrypt)、Discord Token、BIP39 助记词 (加密钱包)、.env 文件、Cookie。C2: 136.243.152.105 (Hetzner DE), HTTP REST API /api/telemetry/event。⚠️ .su 标签为 Meow 家族威胁情报推断, 非二进制提取。

§2 🏷️ 分类标签与威胁情报

分类标签

分类	标签	置信度
恶意类型	Infostealer — ChromeLevator (Rust)	HIGH
家族	Meow / ChromeLevator (⚠️ .su 推断)	75%
平台	Windows x86_64	HIGH
威胁级别	🔴 HIGH	HIGH
编译器	Rust (x86_64-pc-windows-msvc)	HIGH
项目	chromelevator	HIGH
C2	136.243.152.105	CRITICAL

📌 证据→推理→结论
① DIE: Rust → ② .text E=7.43 → ③ chromelevator/BIP39/Discord/BCryptDecrypt → ④ C2: 136.243.152.105 → ⑤ Meow scanner → ⑥ ChromeLevator Infostealer

威胁情报

字段	值
关联组织	Meow 家族 (苏联地区)
别名	ChromeLevator, Meow Stealer
动机	信息窃取 — 凭据/Token/BIP39/.env/Cookie
目标	个人用户/Discord/加密货币持有者
活动	ChromeLevator 2026-06
C2 协议	HTTP REST API (Bearer Token)
C2 基础设施	136.243.152.105 (Hetzner DE) — 裸 IP

🎯 威胁组织判定
Meow 家族 — build 脚本 "make_with_meow_scanner.bat" + chromelevator 项目。

⚠️ .su TLD 归因: C2 为裸 IP 136.243.152.105, 二进制中无 .su 域名。.su 标签基于 Meow 家族历史威胁情报, 非直接提取。

★ §3 🔬 持久化机制

未检出持久化。ChromeLevator 为一次性运行窃取器。

★ §3b 🌐 C2 架构分析

通联关系图

📋 ASCII 文本视图 (点击展开)

chromelevator.exe ──HTTP REST API──▶ 136.243.152.105 (Hetzner DE)
  /api/telemetry/event + /api/telemetry/file-chunk
  Authorization: Bearer {INGEST_SECRET}

🌐 C2 通信深度分析

C2 IP	136.243.152.105 (Hetzner DE)
协议	HTTP REST API + Bearer Token
API	/api/telemetry/event, /api/telemetry/file-chunk
认证	Authorization: Bearer {INGEST_SECRET}
加密	ChaCha20 (ChaCha20XorDualRegion)
TLD	⚠️ .su 推断 — 实际为裸 IP

🔬 C2 地址分析技术细节:
• C2: 136.243.152.105 硬编码 (Hetzner DE)
• API: /api/telemetry/event (JSON POST)
• 认证: Bearer Token (INGEST_SECRET)
• 加密: ChaCha20 流加密

⚠️ .su TLD 归因: .su 标签为 Meow 家族威胁情报推断。C2 为裸 IP 136.243.152.105, 二进制中无 .su 域名。

通道 1: 主 C2 — HTTP REST API

协议	HTTP/1.1 POST (JSON) + Bearer Token
端口	80 (HTTP)
地址/Domain	136.243.152.105 (裸 IP)
IP	136.243.152.105 (Hetzner Online GmbH, AS24940, DE)
加密	ChaCha20 流加密 (应用层)
用途	窃取数据外传 — 凭据/Token/BIP39/.env/Cookie
API引用	/api/telemetry/event, /api/telemetry/file-chunk
证书	无 HTTPS

C2 通信时序

[Start]→[Scan:Chrome/Discord/BIP39/.env/Cookie]→[ChaCha20]→[POST:136.243.152.105/api/telemetry/event]

⚠ C2 基础设施评估

📌 ATT&CK 映射: T1071.001 (Web Protocols), T1041 (Exfiltration)

§4 🏗️ 结构分析

段/节区布局

.text VS=2487500 E=7.43 XR | .data VS=28920 E=2.70 RW | .pdata VS=37536 E=5.98 R

熵值分析

段/节区	熵值	判定
.text	7.43	极高 — Rust
.data	2.70	正常
.pdata	5.98	高

📊 熵值解读
.text 熵值 7.43 — Rust 编译器高度优化, 2.4 MB 代码段含嵌入式功能。非加壳, Rust 原生编译特征。

Rust (x86_64-pc-windows-msvc) | chromelevator | make_with_meow_scanner.bat | 2026-06-03

§5 ⚙️ 反汇编与行为流程

关键函数映射

地址	函数	功能
RunMainImpl	入口	Sys::InitApi→Scan→C2
BCryptDecrypt	解密	Chrome App-Bound Key
ChaCha20	加密	数据加密
BIP39	扫描	助记词

系统调用分析

调用号	系统调用	用途	地址
Rust 标准库抽象

行为执行流

01.Sys::InitApi → 加载 API

02.凭据扫描 (Chrome/Discord/BIP39/.env/Cookie)

03.ChaCha20 加密

04.HTTP POST → 136.243.152.105

§6 🔬 家族溯源

编译元数据

字段	值	来源
编译器	Rust (x86_64-pc-windows-msvc)	DIE
项目	chromelevator	字符串

家族特征比对

维度	本样本	Family1	Family2	Family3	Family4	Family5	Family6	Family7	Family8	匹配
编译器	Rust	✅ Rust	ChromeLevator 独特 Rust 编译特征

📌 家族归因结论
ChromeLevator (Meow) — Rust 信息窃取框架。chromelevator + Meow scanner + C2 Panel + ChaCha20 + BIP39

已知变种

变种	架构	大小	编译器	特征	状态
待威胁情报更新

§7 🔬 深度行为分析

行为阶段拆解

01.Sys::InitApi

02.Scan: Chrome/Discord/BIP39/.env/Cookie

03.ChaCha20

04.POST C2

协议/行为状态机

[Start]→[Scan]→[ChaCha20]→[C2 POST]

📌 行为时序总结

ChromeLevator Rust Infostealer。扫描→加密→C2 外传。136.243.152.105。

§8 🔬 恶意性综合判定

多维度证据评估

维度	证据	权重	恶意指数
窃取能力	Chrome/Discord/BIP39/.env/Cookie	30	10/10
C2	自有 Panel + ChaCha20	25	9/10
密码解密	BCryptDecrypt + App-Bound Key	20	9/10
Rust 混淆	.text E=7.43	15	7/10
无签名	无 Authenticode	10	7/10
综合	交叉验证	100	90/100

恶意性综合判定

误报排除论证

排除良性: Rust+.text E=7.43 + C2 IP硬编码 + BIP39+BCryptDecrypt+Discord + chromelevator项目 + 无签名。无良性解释。

⚠️ 90% — 未QEMU动态执行。

⚠ 判定结论

MALICIOUS — ChromeLevator Rust Infostealer (Meow 家族)

§9 🎯 ATT&CK 映射

Credential Access

T1555.003

Web Browsers

BCryptDecrypt + App-Bound Key

Credential Access

T1552.001

Files (.env)

.env scanner

Collection

T1005

Local System

BIP39 + Discord + Cookie

T1071.001

Web Protocols

136.243.152.105 REST API

Exfiltration

T1041

Over C2

ChaCha20 + HTTP POST

Defense Evasion

T1027

Obfuscation

Rust E=7.43

§10 🛡️ 反分析技术评估

反调试

层	API/技术	检测目标	绕过难度
无

反虚拟机

检测方法	VMware	VirtualBox	QEMU/KVM
无显式 VM 检测

无显式反 VM。Rust 编译 + 静态链接 增加逆向难度。

综合评估

技术	是否存在	证据	对抗难度
Rust 编译	是	.text E=7.43, 静态链接	中

Rust 编译的 ChromeLevator 无传统反分析技术。但 Rust 优化+静态链接显著增加逆向难度。

★ §10b 🧹 痕迹清理

层	操作	API/命令	证据来源
无

§11 🔧 逆向分析

Ghidra 反编译

反编译函数数	N/A (Rust)
反编译输出	N/A
分析时长	N/A

调用链分析 (GitNexus)

总函数数	总调用关系	最大调用深度
?	?	?

📂 调用链拓扑 (点击展开)

N/A

★ §12 🔬 QEMU 动态分析

QEMU 模式	未执行 (静态分析)
网络隔离	未执行 — 建议 iptables LOG+DROP
执行结果	静态分析完成。建议 QEMU 动态执行。
C2 数据	静态提取: 136.243.152.105 (Hetzner DE)

§13 📦 IOC 汇总

IOC 字符串

偏移	字符串	类型	用途/含义	威胁等级
IP	136.243.152.105	C2 IP	ChromeLevator Panel (Hetzner DE)	CRITICAL
API	/api/telemetry/event	Endpoint	JSON 事件上报	HIGH
API	/api/telemetry/file-chunk	Endpoint	文件上传	HIGH

📌 关键 IOC 解读

关键 IOC: ① C2 IP 136.243.152.105 — ChromeLevator Panel; ② API /api/telemetry/event + /api/telemetry/file-chunk; ③ Bearer Token 认证

⚠ 高威胁 IOC 汇总

C2 IP: 136.243.152.105 — ChromeLevator Panel (Hetzner DE)

API: /api/telemetry/event

网络 IOC

C2 IP (提取)136.243.152.105 — Hetzner DE
API (提取)/api/telemetry/event, /api/telemetry/file-chunk
推断 TLD.su — Meow 家族

主机 IOC

SHA256341ab263fc6bd4ce4ddaf6c82132fbfcfe7fc8801def0ccc6dbe2c5f6d071a60
MD5b9111cac752e80b064e779d06fbb2bad
编译器Rust
项目chromelevator

YARA 检测规则

rule ChromeLevator_Rust { strings: $c1="[chromelevator]" $c2="ChaCha20XorDualRegion" $c3="BIP39" $c4="/api/telemetry/event" $c5="136.243.152.105" condition: uint16(0)==0x5A4D and ($c1 or $c2) and ($c4 or $c5) }

§14 📋 最终判定

判定结果	MALICIOUS
恶意类型	Infostealer — ChromeLevator (Rust)
恶意家族	Meow / ChromeLevator (⚠️ .su 推断)
威胁级别	HIGH
置信度	90% — 高置信度 — Rust+chromelevator+C2 IP+BIP39+BCryptDecrypt
关联组织	Meow 家族 (苏联地区)
目标平台	Windows x86_64
感染链位置	初始访问 / 载荷投递

⚡ 综合判定

高置信度恶意 — ChromeLevator Rust Infostealer

确证: Rust编译 + C2 IP 136.243.152.105 + chromelevator + BIP39/Discord/BCryptDecrypt
推断: .su TLD (Meow 家族关联)
待确认: QEMU 动态执行