rule Win64_Infostealer_Skuld : tc_detection malicious
{
    meta:

        author              = "ReversingLabs"

        source              = "ReversingLabs"
        status              = "RELEASED"
        sharing             = "TLP:WHITE"
        category            = "MALWARE"
        malware             = "SKULD"
        description         = "Yara rule that detects Skuld infostealer."

        tc_detection_type   = "Infostealer"
        tc_detection_name   = "Skuld"
        tc_detection_factor = 5

    strings:

        $get_mac_address = {
            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ?? ?? E8 ??
            ?? ?? ?? 90 48 85 FF 75 ?? EB ?? 31 C0 31 DB 48 89 F9 48 89 F7 48 81 C4 ?? ?? ?? ??
            5D C3 48 83 C0 ?? 48 FF CB 48 85 DB 0F 8E ?? ?? ?? ?? 0F 10 00 0F 11 44 24 ?? 0F 10
            40 ?? 0F 11 44 24 ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ??
            ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 0F BA E2 ?? 90 73 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74
            ?? 31 C9 EB ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 DB
            31 C9 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 89 C1 48 8B 84 24 ?? ?? ?? ?? 83 F1 ?? EB ?? 31
            C9 84 C9 0F 84 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 85 D2 74 ?? 48 89 54 24 ?? 48
            8D 0C 52 48 8D 49 ?? 48 89 4C 24 ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ??
            48 8D 05 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 74 24 ?? 48
            8B 7C 24 ?? 31 C9 31 DB EB ?? 31 C0 31 C9 EB ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ??
            31 C9 31 FF 48 89 FE 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 31 C0 31 DB 48
            81 C4 ?? ?? ?? ?? 5D C3 48 89 C3 31 FF 48 89 C8 31 C9 48 81 C4 ?? ?? ?? ?? 5D C3 44
            88 44 03 ?? 48 FF C1
        }

        $find_files_p1 = {
            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
            ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C
            24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84
            24 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
            ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48
            8B 4C 24 ?? 48 FF C1 48 8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ??
            ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 53 ?? 48 89 94 24 ?? ?? ?? ?? 4C 8B
            00 4C 89 44 24 ?? 4C 8B 48 ?? 4C 89 8C 24 ?? ?? ?? ?? 48 39 D1 75 ?? 31 C0 48 8B 9C
            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
            ?? ?? 66 90 EB ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ??
            ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8B
            4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 8B 8C 24 ?? ?? ?? ?? 48 85 C9
            48 8B 94 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 0F 45 D3 48 89 54 24 ?? 48 8B 9C 24 ?? ??
            ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 0F 45 DF 48 89 9C 24 ?? ?? ?? ?? 84 C0 0F 84 ?? ??
            ?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ??
            ?? 48 89 9C 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48
            8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24
            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ??
            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24
        }

        $find_files_p2 = {
            41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B
            94 24 ?? ?? ?? ?? 48 39 D1 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24
            ?? ?? ?? ?? FF D1 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24
            ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ??
            48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ??
            ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ??
            ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
            ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48
            8B B4 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24
            ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 11 90 66 90 48 85 D2 74 ?? 48 39 D1
            74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49
            89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41 ?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C
            89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89
            DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49
            89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89
        }

        $find_files_p3 = {
            8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8
            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24
            ?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8
            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9
            ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 44 0F 11 BC 24
            ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
            ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84
            24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89
            84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ??
            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ??
            ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48 8B B4 24 ?? ?? ?? ?? 41 B8 ?? ??
            ?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ??
            ?? ?? ?? 48 8B 11 90 48 85 D2 74 ?? 48 39 D1 74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
            ?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49 89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41
            ?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48
            89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89 DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ??
            ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49 89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ??
            48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ??
            ?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48
        }

        $find_files_p4 = {
            8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ??
            ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49
            89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ??
            48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B
            4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 48 89 44 24 ?? 44 0F 11 BC 24 ??
            ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B
            84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89
            84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
            8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 54 24 ?? 0F
            57 C0 F2 48 0F 2A C2 F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 66 48 0F 7E C0 0F 1F 40 ??
            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ??
            41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ??
            ?? E9 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 41 ?? 48 89 C2 48 F7 DA 48 8B 59 ??
            90 48 39 D3 77 ?? 48 81 FB ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 0F 4F D9 48 8D 0D ?? ?? ??
            ?? 48 0F 4F C1 48 81 C4 ?? ?? ?? ?? 5D C3
        }

        $take_screenshot_p1 = {
            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
            ?? 0F 1F 00 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? B8 ?? ?? ?? ?? E8
            ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48
            89 8C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C 24 ??
            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8
            ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? B9 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8D BC
            24 ?? ?? ?? ?? 48 8D 7F ?? 66 0F 1F 84 00 ?? ?? 00 00 66 0F 1F 44 00 ?? 48 89 6C 24
            ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
            8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
            05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05
            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ??
            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ?? ??
            ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 8C 24 ?? ??
            ?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ??
            ?? ?? E8 ?? ?? ?? ?? C6 00 ?? 48 8B 8C 24 ?? ?? ?? ?? 84 01 83 3D ?? ?? ?? ?? ?? 75
            ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 49 89 03 48 8B 91 ?? ?? ?? ?? 49 89 53 ?? 48
        }

        $take_screenshot_p2 = {
            8B 54 24 ?? 49 89 53 ?? 48 8B 59 ?? 49 89 5B ?? 48 89 81 ?? ?? ?? ?? 48 8B 5C 24 ??
            48 89 59 ?? 48 89 51 ?? 48 89 C8 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? E8 ??
            ?? ?? ?? 0F 1F 44 00 ?? 48 85 FF 75 ?? 31 C9 31 D2 31 F6 EB ?? 31 C0 31 DB 48 89 D9
            48 81 C4 ?? ?? ?? ?? 5D C3 48 89 04 3E 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B 5C
            24 ?? 48 FF CB 48 89 D7 48 89 F2 48 89 FE 66 90 48 85 DB 0F 8E ?? ?? ?? ?? 48 89 5C
            24 ?? 48 89 94 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 08 48 8B
            50 ?? 48 8D 5E ?? 48 89 5C 24 ?? 48 8B 49 ?? 48 89 D0 FF D1 44 0F 11 BC 24 ?? ?? ??
            ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ??
            48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24
            ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48
            39 D1 72 ?? 48 8B B4 24 ?? ?? ?? ?? EB ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 84 24
            ?? ?? ?? ?? 48 89 D3 BF ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C6 48
            89 DA 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8D 7A ?? 48 C1 E7 ?? 48 89 5C 3E ?? 83 3D ??
            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 89 03 4C 8B 04 3E 4D 89 43 ?? E9 ??
            ?? ?? ?? 48 89 D0 48 89 F3 48 81 C4 ?? ?? ?? ?? 5D C3
        }

        $get_discord_backup_codes = {
            48 89 44 24 ?? 48 8D 1D ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4
            24 ?? ?? ?? ?? 49 89 D8 49 89 C9 31 C0 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ??
            48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ??
            ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 66 90 75 ?? 48 8B 54 24 ?? EB
            ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 8B 58 ?? 49 89 5B ?? 48 89 50 ?? E8 ??
            ?? ?? ?? 48 89 44 24 ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ??
            ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 74 ?? 48 8B
            50 ?? 66 90 E8 ?? ?? ?? ?? 49 89 13 48 8D 15 ?? ?? ?? ?? 48 89 50 ?? 31 C0 48 8D 1D
            ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 74 24 ?? 49 89 D8 49 89 C9 E8 ?? ??
            ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ??
            ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ?? ?? ??
            ?? ?? 75 ?? 48 8B 4C 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 49 89 0B 48 8B 50 ??
            49 89 53 ?? 48 89 48 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75
            ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 89 10 BB ?? ?? ??
            ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ??
            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ??
            ?? ?? ?? ?? 75 ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 4C 8B
            48 ?? 4D 89 4B ?? 48 89 50 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ?? 31 FF 31
            F6 49 89 F0 E8 ?? ?? ?? ?? 31 C0 31 DB 48 83 C4 ?? 5D C3
        }

    condition:
        uint16(0) == 0x5A4D and
        (
            $get_mac_address
        ) and
        (
            all of ($find_files_p*)
        ) and
        (
            all of ($take_screenshot_p*)
        ) and
        (
            $get_discord_backup_codes
        )
}