CardGame) gomulmus, Turkce mali kurbanlar
hedef alan bir dropper/loader'dir.
파일 Kimligi
| SHA256 | 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 |
|---|---|
| Orijinal Ad | Borclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe |
| 크기 | 752.640 byte (~735 KB) |
| Dil / Runtime | C# / .NET Framework 4.7.2 |
| Uygulama Adi | CardGame (kart oyunu kisivigi) |
| GUID | $50BC07E4-A00D-4622-ACCC-EE52302E42AD |
Sosyal Muhendislik
| Hedef Kitle | Turkce konusan mali kurbanlar |
|---|---|
| Kimlik | "Borclusu_Olunan_Cekler" = "Borclulardan Gelen Cekler" — finansal belge aldatmacasi |
| Yontem | Finans belgesi kisvesiyle exe dagitimi (e-posta/mesajlasma) |
Teknik Analiz — Trojanized Uygulama
Ikili dosya, tum string'ler incelendiginde meşru bir seracilik/kart oyunu simulasyonu (CardGame.exe / GreenhouseClimateZone) oldugu gorulmektedir. Ancak bu, tespitten kacmak icin secilmis bir kiyafettir.
Loader Ozellikleri (String Kanitlari)
- Dusurulecek payload:
PmGo.exe(satirlar icinde tespit edildi) - Gomulu payload: Sifrelenmis .NET embedded resource olarak muhtemelen AsyncRAT
- channelKey string'i: C2 iletisim anahtari veya sifreleme anahtari
- Gizlenme: RotateGreenhouseHarvest, AgronomicSignature, EvapotranspirationMM gibi meşru agronomic API isimleri
PNG/ICO Kaynaklari (IDATx Chunk)
Binary icinde birden fazla PNG veri blogu var (IDATx^ basligi) — bunlar kart oyunu gorsellerinin yani sira sifreli payload tasiyabilir.
Teknik Yetenekler (Potansiyel)
- Payload Indirme/Dusurme — PmGo.exe yazma ve calistirma
- AsyncRAT RAT Islevleri (muhtemelen gomulu payload uzerinden): Keylogger, Screenshot, Uzaktan Erisim, 파일 Yoneticisi
- Anti-AV — meşru uygulama kisivesiyle imza tespitinden kacma
C2 Durumu
Tavsiye: Dinamik analiz (sandbox) ile PmGo.exe'nin ag faaliyetleri izlenmelidir.
IOC'lar
| SHA256 | 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 |
|---|---|
| Dusurme 파일si | PmGo.exe |
| GUID | 50BC07E4-A00D-4622-ACCC-EE52302E42AD |
| channelKey | AsyncRAT C2 iletisim anahtari (sifrelenmis) |
Teknik Ozet
Bu ornek, Haziran 2026'da tespit edilen, "Borclusu Olunan Cekler" (borclu cekler) kimligiyle Turkce konusan kullanicilari hedef alan karmasik bir AsyncRAT dropper'idir. Zekice bir sosyal muhendislik saldirisi: bir seracilik/kart oyunu simulasyonunun arkasindan saklanarak, gercek bir C# uygulamasi olarak imzalanmamis ama gorunum itibarayle meşru gorunen bu binary, PmGo.exe adini verilen AsyncRAT yuk dosyasini kullana calistiriyor. Payload sifrelenmis embedded resource olarak saklandigi icin statik analiz C2 adresini cozemiyor; sandbox analizi gerekmektedir.
AsyncRAT — 악성코드 프로필
AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.
기술 세부 정보
C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu
귀속 / 위협 행위자
Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.
기능 및 동작
IOC 목록 (2 개 지표)
# SHA256
70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
# FILEPATH
PmGo.exe
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 | |
| filepath | PmGo.exe |
C2 서버 (이 패밀리에 대해 8개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.