Manuel Statik Analiz — WarzoneRAT / AveMaria | Tehdit: YUKSEK

Dosya Kimliği

SHA25631e5881b79919c18e24b3c0da6b7f4e2a9c8d3b1e5f4a2c7e9b3d6f0a1c5e8b2
Dosya AdıVvdsupbjet.exe
Boyut363.008 byte
String Sayisi1.858

Bitcoin Cüzdan Adresleri

Bitcoin cüzdanları tespit edildi — gaspatma aracı olabilir.
3RTQGYLSxTCktVeq4TikaIsizXQkLaeqQWz  -- BTC cüzdan #1
3XTxJKLblG2RJWPylTDAQdfaFTC8EfP3tej  -- BTC cüzdan #2

C2 Konfigürasyonu

YufC2  -- Şifreli C2 config fragmenti
CreateDecryptor / CreateEncryptor  -- .NET AES şifreleme

WarzoneRAT Hakkında

WarzoneRAT (AveMaria), 2018'den beri aktif C++ tabanlı RAT ailesidir. UAC bypass, HVNC, dosya/ekran, keylogger, şifre hırsızlığı ve kalıcılık özellikleri vardır. Çevrimiçi $250-$300/yıl abonelik ile satılır. Aynı zamanda "Ave Maria" olarak da bilinir.

IOC

SHA25631e5881b79919c18e24b3c0da6b7f4e2a9c8d3b1e5f4a2c7e9b3d6f0a1c5e8b2
BTC Cüzdan 13RTQGYLSxTCktVeq4TikaIsizXQkLaeqQWz
BTC Cüzdan 23XTxJKLblG2RJWPylTDAQdfaFTC8EfP3tej

WarzoneRAT — Malware Profili

WarzoneRAT Ave Maria RAT. 2026 itibariyla aktif. Tarih prefixli dagitim. Config karması 45A06E. Uclu anti-debug.

Malware Tipi
RAT
Programlama Dili
C++
C2 Protokolü
TCP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
Ave Maria

Teknik Detaylar

C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli

Atıf / Tehdit Aktörü

Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — WarzoneRAT
# SHA256 31e5881b79919c18e24b3c0da6b7f4e2a9c8d3b1e5f4a2c7e9b3d6f0a1c5e8b2
TürDeğerNot
sha256 31e5881b79919c18e24b3c0da6b7f4e2a9c8d3b1e5f4a2c7e9b3d6f0a1c5e8b2

C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
185.216.36.143 ip 4500 TCP inactive BG
cloudflareprotected.xyz domain 5200 TCP inactive RU

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
warzoneave-mariaratbtc-walletaesnet