Manuel Statik Analiz — QuasarRAT (XRat) | Tehdit: YUKSEK

Dosya Kimliği

SHA256ef19d077de5b50ab660992b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıstarkbucks.exe ("Starbucks" tiposquatting!)
Boyut660.992 byte (.NET C#)
String Sayisi3.519

Starbucks Tiposquatting

Kamuflaj: "stark-bucks" → Starbucks'a benzer isim. İnsan gözüne ilk bakışta meşru görünüyor!
starkbucks.exe
-- "Stark" + "bucks" = "Starbucks" visual confusaion
-- Finans/para konusuyla ilgili lure
-- Meşru Starbucks uygulaması gibi görünüyor

Coğrafi Konum Tespiti

https://freegeoip.net/xml/
-- Kurbanın IP → ülke/şehir bilgisi alınıyor
-- Hedefli ülkelere seçici enfeksiyon (sandbox atlatma)
-- freegeoip.net = ücretsiz IP geolocation API

AES Şifreleme

encryptionEnabled = true
CreateEncryptor  -- AES şifreleme başlat
CreateDecryptor  -- AES çözme

Bitcoin Cüzdanları

1AUY3PgS4r3UDo4iWXF1yB13xrq9
3KWcAMq2iQjetBTpn9rMLCBpbmIMPVL4

IOC

SHA256ef19d077de5b50ab660992b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Kamuflajstarkbucks.exe (Starbucks tiposquat)
Geofreegeoip.net/xml/ (coğrafi kontrol)
BTC1AUY3PgS4r3UDo4iWXF1yB13xrq9

XRat — Malware Profile

QuasarRAT/XRat .NET C# 2014. starkbucks.exe tiposquatting. freegeoip.net geo-check. AES.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (2 indicators)

IOC — XRat
# DOMAIN freegeoip.net # MUTEX 1AUY3PgS4r3UDo4iWXF1yB13xrq9
TypeValueNote
domain freegeoip.net
mutex 1AUY3PgS4r3UDo4iWXF1yB13xrq9 BTC cüzdanı
Tags
quasarratxratstarkbucks-typosquatfreegeoip-geolocationaes-encryptionbtc-walletgeolocation-check