rule Win64_Infostealer_WeaselStore : tc_detection malicious
{
    meta:

        author              = "ReversingLabs"

        source              = "ReversingLabs"
        status              = "RELEASED"
        sharing             = "TLP:WHITE"
        category            = "MALWARE"
        malware             = "WEASELSTORE"
        description         = "Yara rule that detects WeaselStore infostealer."

        tc_detection_type   = "Infostealer"
        tc_detection_name   = "WeaselStore"
        tc_detection_factor = 5

    strings:

        $spawn_shell_p1 = {
            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
            ?? 48 89 84 24 ?? ?? ?? ?? 66 44 0F D6 BC 24 ?? ?? 00 00 C6 44 24 ?? ?? 44 0F 11 BC
            24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 85
            DB 0F 86 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ??
            ?? ?? ?? 48 8B 18 48 8B 48 ?? 48 8D 44 24 ?? 90 E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ??
            ?? 48 83 FA ?? 0F 86 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48
            8B 94 24 ?? ?? ?? ?? 48 8B 5A ?? 48 8B 4A ?? 48 8D 44 24 ?? 0F 1F 40 ?? E8 ?? ?? ??
            ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 0F 1F 40 ??
            48 83 FA ?? 0F 86 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B
            5A ?? 48 8B 4A ?? 31 C0 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
            ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 C2 ?? 48 F7 DA 48 C1 FA ?? 83 E2 ?? 48 8B B4 24 ??
            ?? ?? ?? 48 01 F2 48 89 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? 48 89
            8C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 CB E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ??
            ?? 48 8B 94 24 ?? ?? ?? ?? 31 C9 EB ?? 48 89 04 11 48 8B 94 24 ?? ?? ?? ?? 48 83 C2
            ?? 4C 8D 46 ?? 48 89 C8 4C 89 C1 48 8B B4 24 ?? ?? ?? ?? 0F 1F 44 00 ?? 48 39 F1 7D
            ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 1A 48 8B 4A ?? 31 C0 66 90
            E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 D6 48 C1 E2 ?? 48 8B 8C 24 ?? ?? ?? ??
            48 89 5C 11 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 03 4C 8B 04 11 4D 89
            43 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 0F 85 ?? ?? ?? ?? 48 8B 94
        }

        $spawn_shell_p2 = {
            24 ?? ?? ?? ?? 81 3A ?? ?? ?? ?? 90 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8D 1D
            ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 0F 1F 40 ?? E8 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
            ?? C6 44 24 ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4 24 ?? ??
            ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 4D 89 C1 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 85 FF 0F
            84 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
            E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? C6 40 ?? ?? 48 8B 8C 24 ??
            ?? ?? ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 48 89 D9 48 89 C3 31 C0 E8 ?? ??
            ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D
            05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 83 3D
            ?? ?? ?? ?? ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? EB ?? E8 ?? ??
            ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 49 89 0B 48 8B 9C 24 ?? ?? ?? ?? 49 89 5B ?? 48 89 08
            48 8B 8C 24 ?? ?? ?? ?? 48 89 48 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 48 ?? 48 89 58 ??
            48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
            89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ??
            ?? ?? ?? C6 44 24 ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 02 FF D0 48 8B 84 24 ?? ?? ??
            ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B B4
        }

        $spawn_shell_p3 = {
            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5D C3 48 89 8C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ??
            ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ??
            ?? ?? C7 00 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 C7 40
            ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 8C 24 ?? ??
            ?? ?? 48 8B 9C 24 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 49 89 0B
            48 8B 9C 24 ?? ?? ?? ?? 49 89 5B ?? 48 89 08 48 8B 8C 24 ?? ?? ?? ?? 48 89 48 ?? 48
            8B 8C 24 ?? ?? ?? ?? 48 89 48 ?? 48 89 58 ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ??
            ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ??
            ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B 94 24 ??
            ?? ?? ?? 48 8B 02 FF D0 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B BC 24
            ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5D
            C3 48 8B 9C 24 ?? ?? ?? ?? 48 89 C1 48 89 F7 48 8B 84 24 ?? ?? ?? ?? 90 E8 ?? ?? ??
            ?? E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ??
            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 00 ?? ?? ??
            ?? C6 40 ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 48
            89 D9 48 89 C3 31 C0 90 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
            ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ??
            ?? 48 C7 40 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? 4C 8B
        }

        $spawn_shell_p4 = {
            84 24 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 13 4C 8B 84 24
            ?? ?? ?? ?? 4D 89 43 ?? 48 89 10 48 8B 94 24 ?? ?? ?? ?? 48 89 50 ?? 48 8B 94 24 ??
            ?? ?? ?? 48 89 50 ?? 4C 89 40 ?? 48 8D 15 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 C7
            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ??
            ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
            ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 81 C4 ?? ?? ?? ?? 5D C3 48
            8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 48 8B 9C
            24 ?? ?? ?? ?? 48 89 D9 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ??
            E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ??
            ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? E8
            ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48
            8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48
            89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48
            8D 8C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 31 C0
            E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
            ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ??
            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? EB ??
            E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 13 4C 8B 84 24 ?? ?? ?? ?? 4D 89 43 ??
            48 89 10 48 8B 94 24 ?? ?? ?? ?? 48 89 50 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 50 ?? 4C
            89 40 ?? 48 8D 15 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 C7 84 24
        }

        $gather_chrome_cookies = {
            49 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 83 EC ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ??
            ?? ?? 48 89 44 24 ?? 44 0F 11 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 44
            0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 4C 24 ?? 48 89 4C 24 ?? 48
            8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 7C 24 ?? 48 8B 74 24 ?? 48 8D 05 ??
            ?? ?? ?? 48 8B 5C 24 ?? 41 B8 ?? ?? ?? ?? 66 90 E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
            BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ??
            ?? ?? C7 00 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 C7 41 ?? ?? ?? ?? ?? 48 C7 41 ?? ?? ?? ??
            ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 03 48 8B 11 49 89 53 ?? 48 89 01
            48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 B9 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 08 48 B9 ??
            ?? ?? ?? ?? ?? ?? ?? 48 89 48 ?? 48 8B 4C 24 ?? 48 C7 41 ?? ?? ?? ?? ?? 48 C7 41 ??
            ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 03 48 8B 51 ?? 49 89 53
            ?? 48 89 41 ?? 48 8B 54 24 ?? 4C 8B 42 ?? 48 8B 42 ?? 49 39 C0 72 ?? 4C 8B 0A 48 8B
            52 ?? 48 29 C2 49 29 C0 4C 89 41 ?? 48 89 51 ?? 48 F7 DA 48 C1 FA ?? 48 21 D0 49 8D
            14 01 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 13 4C 8B 41 ?? 4D 89 43 ?? 48
            89 51 ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 83 C4 ?? 5D
            C3
        }

        $change_chrome_profile_p1 = {
            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 C7
            44 24 ?? ?? ?? ?? ?? 44 0F 11 7C 24 ?? E8 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48
            8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48
            8D 8C 24 ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F
            11 BC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89
            84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 84
            24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? BF ?? ??
            ?? ?? 48 89 FE E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 C0 48 8D 1D ?? ?? ?? ?? B9 ?? ?? ??
            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? EB ??
            48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? 48 8B 54 24 ?? 48 FF CA 48 8B 44 24 ?? 48 85 D2
            0F 8E ?? ?? ?? ?? 48 89 54 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 01 48 89 44 24 ?? 48
            8B 59 ?? 48 89 5C 24 ?? 0F 1F 40 ?? E8 ?? ?? ?? ?? 48 85 DB 75 ?? 48 89 44 24 ?? 48
            8D 1D ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 44
        }

        $change_chrome_profile_p2 = {
            24 ?? 48 8D 1D ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ??
            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 1D ?? ?? ?? ?? 48
            89 C1 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24
            ?? E8 ?? ?? ?? ?? 48 89 DF 48 89 CE 41 B8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 89 C1 48 8B
            44 24 ?? 90 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89
            44 24 ?? C7 00 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 B9
            ?? ?? ?? ?? ?? ?? ?? ?? 48 89 08 48 B9 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 48 ?? 48 B9 ??
            ?? ?? ?? ?? ?? ?? ?? 48 89 48 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 40 ?? ??
            ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 66 90 75 ?? 48 8B 54 24 ?? 4C
            8B 44 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 4C 8B 44 24 ?? 4D 89 43 ??
            48 89 10 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 4C 89 40 ?? BB ?? ?? ?? ??
            48 89 C1 BF ?? ?? ?? ?? 48 89 FE 48 8D 05 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5D C3
        }

        $network_communication_p1 = {
            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89
            8C 24 ?? ?? ?? ?? 66 44 0F D6 BC 24 ?? ?? 00 00 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24
            ?? ?? ?? ?? C6 44 24 ?? ?? 44 0F 11 7C 24 ?? 44 0F 11 7C 24 ?? 48 85 C9 48 8D 15 ??
            ?? ?? ?? 48 0F 45 D1 48 89 F9 48 89 D0 48 89 CB E8 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89
            4C 24 ?? 48 89 44 24 ?? 90 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89
            50 ?? 48 8B 54 24 ?? 48 89 50 ?? 83 3D ?? ?? ?? ?? ?? 66 90 75 ?? 48 8B 54 24 ?? EB
            ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 89 10 48 8B 15 ?? ?? ?? ?? 90 48 8B 9C
            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 8D 05
            ?? ?? ?? ?? 49 89 C1 48 89 D0 E8 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8B 48 ?? 84 01 48 8B
            50 ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 35 ?? ??
            ?? ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8D
            8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B 48 ?? 48 8B 58 ?? 48
        }

        $network_communication_p2 = {
            85 C9 0F 84 ?? ?? ?? ?? 48 8B 51 ?? 48 8B 35 ?? ?? ?? ?? 48 8B 3E 8B 49 ?? E9 ?? ??
            ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 5C 24 ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 8D 05
            ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 9C 24 ?? ?? ?? ?? E8
            ?? ?? ?? ?? E8 ?? ?? ?? ?? 44 0F 11 7C 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B BC
            24 ?? ?? ?? ?? 48 89 7C 24 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 81 C4 ?? ?? ?? ?? 5D
            C3 48 89 C8 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 31 C0 E8 ?? ?? ?? ?? 48
            89 44 24 ?? 48 89 5C 24 ?? 44 0F 11 7C 24 ?? C6 44 24 ?? ?? 48 8B 94 24 ?? ?? ?? ??
            48 8B 0A FF D1 48 8B 4C 24 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 7C 24 ?? 48 81 C4
            ?? ?? ?? ?? 5D C3 49 89 C8 48 21 F9 48 C1 E1 ?? 4C 8B 4C 31 ?? 49 39 D1 74 ?? 49 8D
            48 ?? 4D 85 C9 75 ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 D3 E8 ?? ??
            ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 C1
        }

    condition:
        uint16(0) == 0x5A4D and
        (
            all of ($spawn_shell_p*)
        ) and
        (
            $gather_chrome_cookies
        ) and
        (
            all of ($change_chrome_profile_p*)
        ) and
        (
            all of ($network_communication_p*)
        )
}