Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | mixsix_20211018-121016 (2021-10-18 12:10:16 zaman damgası) |
| Boyut | 569.356 byte (569KB) |
| String Sayisi | 4.361 |
Rust Programlama Dili Tespiti
Rust Tabanlı Malware: _ZN5alloc Rust isim mangling sembolü tespit edildi!
__ZN5alloc11collections5btree8navigate227... -- _ZN = Itanium C++ ABI isim mangling (Rust da kullanır) -- 5alloc = "alloc" (5 karakter) Rust bellek ayırma crate'i -- 11collections = Rust koleksiyonlar modülü -- 5btree = B-tree veri yapısı (Rust standart kütüphane) -- 8navigate = tree traversal fonksiyonu -- SONUÇ: Bu binary Rust derleyicisiyle üretilmiş!
Zaman Damgalı Dosya Adı
mixsix_20211018-121016 -- "mixsix" = operasyonel takma ad veya build tag -- 20211018 = 2021-10-18 (18 Ekim 2021) -- 121016 = saat 12:10:16 -- Geliştirici build sistemi çıktısı (timestamp embedded)
FickerStealer Hakkında
FickerStealer 2020'de Rusça yeraltı forumlarında ortaya çıkan ve $200/ay fiyata MaaS olarak satılan Rust-tabanlı info stealer'dır. Tarayıcı kimlik bilgileri, kripto cüzdanlar, Steam/Discord, e-posta clientları hedefler. Rust kullanımı: AV imza tespitini zorlaştırır, performans avantajı sağlar.
IOC
| SHA256 | 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dil | Rust (_ZN5alloc Rust stdlib) |
| Timestamp | mixsix_20211018-121016 |
FickerStealer — Malware Profili
FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.
Malware Tipi
Infostealer
Programlama Dili
Rust
C2 Protokolü
HTTP
Hedef Sistemler
Küresel
Yetenekler ve Davranış
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC Listesi (1 gösterge)
IOC — FickerStealer
# SHA256
6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Tür | Değer | Not |
|---|---|---|
| sha256 | 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |
C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| domadifn.com | domain | 443 | HTTPS | inactive | — |
| domafaifn.com | domain | 443 | HTTPS | inactive | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.