Manuel Statik Analiz — SparkRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 91a2945d99ee794a1576960b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | ChromeSetup.msi |
| Boyut | 1.576.960 byte (1.5MB MSI) |
| String Sayisi | 7.774 |
Gerçek Chrome GUID Kötüye Kullanımı
Güvenilir GUID Sahteciği: Google Chrome'un gerçek MSI GUID'ini kullanıyor!
appguid={8A69D345-D564-463C-AFF1-A69D9E530F96}&iid={0E5B0AC6-A47F-...
-- {8A69D345-D564-463C-AFF1-A69D9E530F96} = Google Chrome'un GERÇEK uygulama GUID'i!
-- Bu GUID Chrome'un resmi MSI kurulumcularında bulunur
-- Saldırgan resmi Chrome kurulumcusunu trojanize etti:
1. Orijinal Chrome MSI'dan GUID kopyalandı
2. SparkRAT payload eklendi
3. Görünürde meşru Chrome GUID → imza doğrulaması "başarılı" gibi görünür
-- Chrome GUID + ChromeSetup.msi = mükemmel kılık kombinasyonu
SparkRAT Hakkında
SparkRAT 2022'de Go diliyle yazılmış açık kaynaklı cross-platform RAT'tır. Windows, macOS, Linux destekler. WebSocket protokolü üzerinden C2 iletişimi. Terminal, dosya yönetimi, ekran paylaşımı, process yönetimi, network tünelleme özellikleri vardır. Çinli tehdit aktörlerince sıklıkla kullanılır.
IOC
| SHA256 | 91a2945d99ee794a1576960b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Kılık | ChromeSetup.msi (gerçek Chrome GUID: {8A69D345-D564-463C-AFF1-A69D9E530F96}) |
SparkRAT — Malware Profile
SparkRAT 2022 Go dili cross-platform. ChromeSetup.msi Chrome GUID 8A69D345. WebSocket C2. Windows/macOS/Linux.
Malware Type
RAT
Programming Language
Go
C2 Protocol
WebSocket/HTTPS
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — SparkRAT
# SHA256
91a2945d99ee794a1576960b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 91a2945d99ee794a1576960b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |