Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 6fc629fbf3a2155e080a6c65fde3db4fe84c3b5a4f7d0e2b6c9f1a3d6e8b1c4f |
|---|---|
| Dosya Adı | mixsix_20211018-121016 (iç build adı + tarih-saat!) |
| Boyut | 569.356 byte (556KB) |
| String Sayisi | 4.361 |
mixsix_20211018-121016: İç Build Adı
mixsix_20211018-121016 -- "mixsix" = mix + six (6 veri kategorisi mi?) -- "20211018" = 18 Ekim 2021 (Salı) — build tarihi -- "121016" = 12:10:16 — tam build saati! -- Build CI/CD pipline adı otomatik oluşturulmuş -- Geliştirici: build adını temizlemeden dağıttı -- Karşılaştır: EpsilonStealer, MassLogger da benzer tarih-damgalı build
Rust Binary: __ZN std::error::Error Mangled Sembol
DİL TESPİT: Rust ile yazılmış stealer!
__ZN3std5error5Error7type_id17ha35025a99c203c19E -- Rust mangled isim formatı: __ZN + modül + sembol + hash -- "3std" = std (standart kütüphane, 3 karakter) -- "5error" = error modülü -- "5Error" = Error struct -- "7type_id" = type_id() metodu -- "17ha35025a99c203c19" = Rust hash suffix (her build farklı) -- FickerStealer: Rust ile yazılmış → modern, memory-safe, hızlı
IOC
| SHA256 | 6fc629fbf3a2155e080a6c65fde3db4fe84c3b5a4f7d0e2b6c9f1a3d6e8b1c4f |
|---|---|
| Build | mixsix_20211018-121016 |
| Dil | Rust |
FickerStealer — Malware Profili
FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.
Malware Tipi
Infostealer
Programlama Dili
Rust
C2 Protokolü
HTTP
Hedef Sistemler
Küresel
Yetenekler ve Davranış
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC Listesi (1 gösterge)
IOC — FickerStealer
# SHA256
6fc629fbf3a2155e080a6c65fde3db4fe84c3b5a4f7d0e2b6c9f1a3d6e8b1c4f
| Tür | Değer | Not |
|---|---|---|
| sha256 | 6fc629fbf3a2155e080a6c65fde3db4fe84c3b5a4f7d0e2b6c9f1a3d6e8b1c4f |
C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| domadifn.com | domain | 443 | HTTPS | inactive | — |
| domafaifn.com | domain | 443 | HTTPS | inactive | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.