Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK

Dosya Kimliği

SHA256d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut632.320 byte (632KB)
String Sayisi4.840

İki C2 Domain: objects.json Config Çekimi

CANLI C2: /objects.json endpoint!
https://sub.domadifn.com/objects.json
https://subf.domafaifn.com/objects.json
-- "domadifn.com" ve "domafaifn.com" = benzer ama farklı iki domain
-- Her ikisi de "/objects.json" endpoint: JSON config dosyası çekme
-- "sub." ve "subf." = iki farklı subdomain → yedekli C2 altyapısı
-- objects.json = FickerStealer runtime konfigürasyonu:
  {"c2": "...", "key": "...", "targets": [...], "modules": [...]}
-- İkili domain: birincil domain engellenince ikincil devreye giriyor

SmartAssembly .NET Obfuskörü

MulticastDelegate
SmartAssembly.Delegates
CreateMemberRefsDelegates
CreateGetStringDe[legates]
-- SmartAssembly = Red Gate tarafından geliştirilen .NET obfuscator
-- "SmartAssembly.Delegates" = obfuscator namespace'i (silinmemiş)
-- Delegate şifresi çözme: CreateGetStringDelegates → runtime decrypt
-- Tüm string'ler şifreli → runtime'da çözülüyor → AV'yi geçiyor

Şifre Çözme + Hostname Toplama

set_Key          -- Şifreleme anahtarı ayarlama
CreateDecryptor  -- AES/DES decryptor instance
GetHostName      -- Kurban bilgisayar adı toplama
Connect          -- C2'ye bağlanma

IOC

SHA256d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2 #1sub.domadifn.com (/objects.json)
C2 #2subf.domafaifn.com (/objects.json)

FickerStealer — Malware Profili

FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.

Malware Tipi
Infostealer
Programlama Dili
Rust
C2 Protokolü
HTTP
Hedef Sistemler
Küresel

Yetenekler ve Davranış

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC Listesi (2 gösterge)

IOC — FickerStealer
# sub.domadifn.com # subf.domafaifn.com
TürDeğerNot
sub.domadifn.com
subf.domafaifn.com

C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
domadifn.com domain 443 HTTPS inactive —
domafaifn.com domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
fickerstealerdomadifn-com-c2domafaifn-com-c2objects-json-endpointsmartassembly-obfuscatorcreateDecryptorgethostname-theft