Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Boyut | 632.320 byte (632KB) |
| String Sayisi | 4.840 |
İki C2 Domain: objects.json Config Çekimi
CANLI C2: /objects.json endpoint!
https://sub.domadifn.com/objects.json
https://subf.domafaifn.com/objects.json
-- "domadifn.com" ve "domafaifn.com" = benzer ama farklı iki domain
-- Her ikisi de "/objects.json" endpoint: JSON config dosyası çekme
-- "sub." ve "subf." = iki farklı subdomain → yedekli C2 altyapısı
-- objects.json = FickerStealer runtime konfigürasyonu:
{"c2": "...", "key": "...", "targets": [...], "modules": [...]}
-- İkili domain: birincil domain engellenince ikincil devreye giriyor
SmartAssembly .NET Obfuskörü
MulticastDelegate SmartAssembly.Delegates CreateMemberRefsDelegates CreateGetStringDe[legates] -- SmartAssembly = Red Gate tarafından geliştirilen .NET obfuscator -- "SmartAssembly.Delegates" = obfuscator namespace'i (silinmemiş) -- Delegate şifresi çözme: CreateGetStringDelegates → runtime decrypt -- Tüm string'ler şifreli → runtime'da çözülüyor → AV'yi geçiyor
Şifre Çözme + Hostname Toplama
set_Key -- Şifreleme anahtarı ayarlama CreateDecryptor -- AES/DES decryptor instance GetHostName -- Kurban bilgisayar adı toplama Connect -- C2'ye bağlanma
IOC
| SHA256 | d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 #1 | sub.domadifn.com (/objects.json) |
| C2 #2 | subf.domafaifn.com (/objects.json) |
FickerStealer — Malware Profile
FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.
Malware Type
Infostealer
Programming Language
Rust
C2 Protocol
HTTP
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (2 indicators)
IOC — FickerStealer
#
sub.domadifn.com
#
subf.domafaifn.com
| Type | Value | Note |
|---|---|---|
| sub.domadifn.com | ||
| subf.domafaifn.com |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| domadifn.com | domain | 443 | HTTPS | inactive | — |
| domafaifn.com | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.