Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK

Dosya Kimliği

SHA2566fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adımixsix_20211018-121016 (2021-10-18 12:10:16 zaman damgası)
Boyut569.356 byte (569KB)
String Sayisi4.361

Rust Programlama Dili Tespiti

Rust Tabanlı Malware: _ZN5alloc Rust isim mangling sembolü tespit edildi!
__ZN5alloc11collections5btree8navigate227...
-- _ZN = Itanium C++ ABI isim mangling (Rust da kullanır)
-- 5alloc = "alloc" (5 karakter) Rust bellek ayırma crate'i
-- 11collections = Rust koleksiyonlar modülü
-- 5btree = B-tree veri yapısı (Rust standart kütüphane)
-- 8navigate = tree traversal fonksiyonu
-- SONUÇ: Bu binary Rust derleyicisiyle üretilmiş!

Zaman Damgalı Dosya Adı

mixsix_20211018-121016
-- "mixsix" = operasyonel takma ad veya build tag
-- 20211018 = 2021-10-18 (18 Ekim 2021)
-- 121016 = saat 12:10:16
-- Geliştirici build sistemi çıktısı (timestamp embedded)

FickerStealer Hakkında

FickerStealer 2020'de Rusça yeraltı forumlarında ortaya çıkan ve $200/ay fiyata MaaS olarak satılan Rust-tabanlı info stealer'dır. Tarayıcı kimlik bilgileri, kripto cüzdanlar, Steam/Discord, e-posta clientları hedefler. Rust kullanımı: AV imza tespitini zorlaştırır, performans avantajı sağlar.

IOC

SHA2566fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
DilRust (_ZN5alloc Rust stdlib)
Timestampmixsix_20211018-121016

FickerStealer — Malware Profili

FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.

Malware Tipi
Infostealer
Programlama Dili
Rust
C2 Protokolü
HTTP
Hedef Sistemler
Küresel

Yetenekler ve Davranış

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC Listesi (1 gösterge)

IOC — FickerStealer
# SHA256 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TürDeğerNot
sha256 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63

C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
domadifn.com domain 443 HTTPS inactive —
domafaifn.com domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
fickerstealerrust-languagezn5alloc-rust-symbolrust-name-manglingmixsix-20211018-timestamprust-stealer