Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK

파일 Kimliği

SHA256d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
크기632.320 byte (632KB)
String Sayisi4.840

İki C2 Domain: objects.json Config Çekimi

CANLI C2: /objects.json endpoint!
https://sub.domadifn.com/objects.json
https://subf.domafaifn.com/objects.json
-- "domadifn.com" ve "domafaifn.com" = benzer ama farklı iki domain
-- Her ikisi de "/objects.json" endpoint: JSON config dosyası çekme
-- "sub." ve "subf." = iki farklı subdomain → yedekli C2 altyapısı
-- objects.json = FickerStealer runtime konfigürasyonu:
  {"c2": "...", "key": "...", "targets": [...], "modules": [...]}
-- İkili domain: birincil domain engellenince ikincil devreye giriyor

SmartAssembly .NET Obfuskörü

MulticastDelegate
SmartAssembly.Delegates
CreateMemberRefsDelegates
CreateGetStringDe[legates]
-- SmartAssembly = Red Gate tarafından geliştirilen .NET obfuscator
-- "SmartAssembly.Delegates" = obfuscator namespace'i (silinmemiş)
-- Delegate şifresi çözme: CreateGetStringDelegates → runtime decrypt
-- Tüm string'ler şifreli → runtime'da çözülüyor → AV'yi geçiyor

Şifre Çözme + Hostname Toplama

set_Key          -- Şifreleme anahtarı ayarlama
CreateDecryptor  -- AES/DES decryptor instance
GetHostName      -- Kurban bilgisayar adı toplama
Connect          -- C2'ye bağlanma

IOC

SHA256d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2 #1sub.domadifn.com (/objects.json)
C2 #2subf.domafaifn.com (/objects.json)

FickerStealer — 악성코드 프로필

FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.

악성코드 유형
Infostealer
프로그래밍 언어
Rust
C2 프로토콜
HTTP
대상 시스템
Küresel

기능 및 동작

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC 목록 (2 개 지표)

IOC — FickerStealer
# sub.domadifn.com # subf.domafaifn.com
유형메모
sub.domadifn.com
subf.domafaifn.com

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
domadifn.com domain 443 HTTPS inactive —
domafaifn.com domain 443 HTTPS inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
fickerstealerdomadifn-com-c2domafaifn-com-c2objects-json-endpointsmartassembly-obfuscatorcreateDecryptorgethostname-theft