Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK

Dosya Kimliği

SHA2566fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adımixsix_20211018-121016 (2021-10-18 12:10:16 zaman damgası)
Boyut569.356 byte (569KB)
String Sayisi4.361

Rust Programlama Dili Tespiti

Rust Tabanlı Malware: _ZN5alloc Rust isim mangling sembolü tespit edildi!
__ZN5alloc11collections5btree8navigate227...
-- _ZN = Itanium C++ ABI isim mangling (Rust da kullanır)
-- 5alloc = "alloc" (5 karakter) Rust bellek ayırma crate'i
-- 11collections = Rust koleksiyonlar modülü
-- 5btree = B-tree veri yapısı (Rust standart kütüphane)
-- 8navigate = tree traversal fonksiyonu
-- SONUÇ: Bu binary Rust derleyicisiyle üretilmiş!

Zaman Damgalı Dosya Adı

mixsix_20211018-121016
-- "mixsix" = operasyonel takma ad veya build tag
-- 20211018 = 2021-10-18 (18 Ekim 2021)
-- 121016 = saat 12:10:16
-- Geliştirici build sistemi çıktısı (timestamp embedded)

FickerStealer Hakkında

FickerStealer 2020'de Rusça yeraltı forumlarında ortaya çıkan ve $200/ay fiyata MaaS olarak satılan Rust-tabanlı info stealer'dır. Tarayıcı kimlik bilgileri, kripto cüzdanlar, Steam/Discord, e-posta clientları hedefler. Rust kullanımı: AV imza tespitini zorlaştırır, performans avantajı sağlar.

IOC

SHA2566fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
DilRust (_ZN5alloc Rust stdlib)
Timestampmixsix_20211018-121016

FickerStealer — Malware Profile

FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.

Malware Type
Infostealer
Programming Language
Rust
C2 Protocol
HTTP
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — FickerStealer
# SHA256 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
domadifn.com domain 443 HTTPS inactive —
domafaifn.com domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
fickerstealerrust-languagezn5alloc-rust-symbolrust-name-manglingmixsix-20211018-timestamprust-stealer