Derin PE Analizi — SnakeDeveloperRAT (.NET) | Tehdit: ORTA

Dosya Kimliği

SHA256536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e
Dosya AdıPO.exe (Purchase Order — satın alma emri iş e-postası lürü)
Boyut968 KB (.NET PE32, .NET 4.x)

PO.exe: İş Dünyası E-Postası Lürü

PO.exe
-- "PO" = Purchase Order (Satın Alma Emri)
-- Kurumsal hedef: tedarik zinciri, satın alma departmanları
-- Senaryo: "PO.exe — Mayıs 2026 Sipariş Onayı.exe" gibi ekte gönderilir
-- Hedef profil: şirket muhasebe/tedarik çalışanları → daha az teknik farkındalık
-- Alternatif: "PO.pdf.exe" çift uzantısıyla gönderilebilir

snakedeveloper@gmail.com + IsmAvatar@gmail.com: Çift Geliştirici E-Postası

ATRİBÜSYON: İki geliştirici e-posta adresi RAT binary içinde gömülü!
snakedeveloper@gmail.com
IsmAvatar@gmail.com

-- Her iki adres birlikte görünüyor → aynı .NET framework/bileşenden geliyorlar
-- "snakedeveloper": geliştiricinin tercih ettiği takma ad (LoL/gaming community'de yaygın)
-- "IsmAvatar": belgelenmiş geliştirici; LightStrike ve diğer açık kaynak .NET araçları
-- Bu çift kombinasyon: açık kaynak .NET bileşeninin bu RAT içine gömülmesi
  - Muhtemelen: bir obfuscation veya compression kütüphanesi
  - Kütüphanenin lisans bloğunda e-posta adresleri sabit
  - Kötü amaçlı yazılıma dolaylı atıf sağlıyor
-- "snakedeveloper" takma adı siber tehdit araştırması için izlenebilir hedef

HotkeyScreenshot: Hotkey Tetiklemeli Ekran Görüntüsü Sistemi

HotkeyScreenshot  (x2 kez görünüyor)

-- "HotkeyScreenshot" = tuş kombinasyonu ile ekran görüntüsü al
-- İki görünüm: hem fonksiyon ismi hem de olay yöneticisi (event handler)
-- Hotkey dinleme: SetWindowsHookEx(WH_KEYBOARD) veya RegisterHotKey() ile tuş izleme
-- Kullanım senaryoları:
  1. Kurban PrtScn tuşuna bastığında → otomatik C2'ye yükle
  2. Belirli tuş kombinasyonu (CTRL+SHIFT+S) → anlık ekran yakalama
  3. Arka planda pasif ekran izleme: kurban özel pencereye odaklandığında tetikle
-- Screenshot çerçevesi: Windows Forms gömülü → BitBlt veya Graphics.CopyFromScreen()
-- Gönderim: ZLIB sıkıştırma → C2 sunucusuna HTTP POST

AllowPartiallyTrustedCallers: Kısmi Güven Sandbox Atlatma

[assembly: AllowPartiallyTrustedCallers]

-- .NET güvenlik özelliği: tam güvenli (full-trust) assembly'in
  kısmi güvenli (partial-trust) ortamlardan çağrılabilmesine izin verir
-- Normal: Internet Zone, sandboxed browser plugin = kısmi güven
-- Bu attribute: RAT'ın sandboxed .NET ortamlarından (ClickOnce, XBAP) çağrılabilir olduğunu gösteriyor
-- Potansiyel senaryo: Browser eklentisi veya ClickOnce dağıtımı üzerinden enfeksiyon

ZLIB.NET + Windows Forms: RAT Mimarisi

ZLIB.NET (zlib.net)           -- veri sıkıştırma kütüphanesi (C2 trafik sıkıştırma)
ovh.org                       -- OVH ağ bileşeni veya bağlantı testi referansı
System.Windows.Forms          -- GUI bileşenlerle gelen RAT (builder arayüzü?)
ImageListStreamer              -- liste ikonu gömülü → Windows Forms UI widget

-- Windows Forms GUI: bu RAT muhtemelen hem istemci (victim tarafı) hem yönetici (builder)
  arayüzüne sahip .NET projesi
-- ZLIB.NET: ekran görüntüsü verilerini HTTP POST öncesinde sıkıştırıyor

IOC

SHA256536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e
Geliştirici E-postasnakedeveloper@gmail.com
Geliştirici E-posta 2IsmAvatar@gmail.com
AileSnakeDeveloperRAT

SnakeDeveloperRAT — Malware Profile

PO.exe custom .NET RAT. snakedeveloper@gmail.com IsmAvatar@gmail.com developer attribution emails. HotkeyScreenshot hotkey-triggered screenshot capture. AllowPartiallyTrustedCallers sandbox attribute. ZLIB.NET compression.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
HTTP
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — SnakeDeveloperRAT
# SHA256 536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e
TypeValueNote
sha256 536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e
Tags
snakedeveloperratcustom-net-ratpurchase-order-po-exe-luresnakedeveloper-gmail-com-developer-attribution-emailismavatar-gmail-com-developer-attribution-emailhotkeyscreenshot-hotkey-triggered-screenshot-captureallowpartiallytrustedcallers-partial-trust-sandbox-attributezlib-net-compression-librarywindows-forms-gui-ratovh-org-connection-artifact