Manuel Statik Analiz (LLM Okumali) — QuasarRAT | Tehdit: KRITIK

Dosya Kimligi

SHA2562e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e
Orijinal Adhitclub.paris_113f01ee_q_chrome-update.exe
Boyut139.776 byte
Dil.NET (C#)

Teslimat: Sahte Chrome Guncelleme

Dosya adi chrome-update.exe ile Google Chrome guncelleme sureci taklidi yapilmaktadir. hitclub.paris domaini bu ornekle iliskili dagitim altyapisinın bir parcasıdir.

QuasarRAT Namespace Teyidi (Cleartext Stringler)

Quasar.Client.Config        — Yapilandirma modulu
Quasar.Client.IO            — Dosya islemleri
Quasar.Client.Networking    — Ag iletisimi
Quasar.Client.IpGeoLocation — IP geolocation (ipify + ipwho)
Quasar.Client.Logging       — Loglama modulu
Quasar.Common.IO            — Ortak IO katmani
Quasar.Common.DNS           — DNS/HOSTS yonetimi
Quasar.Common.Video         — Ekran/webcam modulu
Quasar.Common.Networking    — Ag altyapisi
QuasarApplication           — Ana uygulama sinifi

C2 Konfigurasyon Alanlari

AlanKullanim
Hostname k__BackingFieldC2 sunucu adresi
Port k__BackingFieldC2 port numarasi
Version k__BackingFieldQuasarRAT versiyonu
SERVERCERTIFICATESSL sertifika icerigi (self-signed)
SERVERCERTIFICATESTRSertifika dizisi

C2 Iletisimi

  • Sifrelenmis TCP — SSL/TLS ile self-signed sertifika
  • IP tespiti: https://api.ipify.org/ ve https://ipwho.is/
  • HOSTS dosyasi yonetimi — DNS zehirleme yapabilir

QuasarRAT Yetenekleri

  • Uzak komut satiri (reverse shell)
  • Keylogger
  • Ekran goruntusu ve uzak masaustu (RDP)
  • Webcam erisimi
  • Dosya yonetimi
  • Tarayici sifre calma
  • Surec yonetimi
  • Reverse proxy
  • HOSTS dosyasi manipulasyonu

IOC

SHA2562e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e
Lure Domainhitclub.paris
LureChrome update (sahte)
IP Lookupapi.ipify.org, ipwho.is
C2Sifrelenmis TCP SSL (dinamik analiz gerekli)

QuasarRAT — Malware Profile

QuasarRAT acik kaynak uzaktan erisim araci. v1.4.0 istemcisi Quasar.Client.Recovery ile Chrome/Firefox/Edge/Yandex/WinSCP/FileZilla kimlik bilgilerini kurtarir. PGma.System.MouseKeyHook ile fare+klavye izlemesi yapar. Protobuf-net ile sifreli C2 iletisimi saglar. schtasks ile kalicilik.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/SSL
Target Systems
Windows
Also Known As (AKA)
xRAT

Technical Details

C# .NET, TLS/SSL sifreleme, TCP varsayilan port 4782, Remote Desktop, Process Manager, File Browser, Password Recovery, Reverse Proxy (SOCKS5), Keylogger, Registry Editor

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — QuasarRAT
# SHA256 2e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e
TypeValueNote
sha256 2e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e

C2 Servers (5 recorded servers for this family)

Address Type Port Protocol Status Country
api.ipify.org domain 443 HTTPS active —
ipwho.is domain 443 HTTPS active —
hitclub.paris domain — HTTP active —
77.91.124.165 ip 4782 TCP inactive —
192.210.179.210 ip 4782 TCP inactive US

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
quasarratchrome-update-lureipifyssl-c2hitclub-parishosts-fileip-geolocation