Manuel Statik Analiz — ToxicEye (TelegramRAT) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 294e5efb8db8a8e1114176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | TelegramRAT.bin → d4f83c4c81c9ace8.exe (kendini açıklayan isim!) |
| Boyut | 114.176 byte (114KB) |
| String Sayisi | 1.745 |
GERÇEK Telegram Bot Token!
CANLI IOC: Telegram bot token açık metin!
https://api.telegram.org/bot5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ/getUpdates -- Bot ID: 5245693641 -- Token: AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ -- /getUpdates = long-polling ile komut alma (her 30 saniyede bir) -- ToxicEye C2 kanalı: Telegram → saldırgan bot sahibi → kurban mesaj alıyor -- Telegram bloke edilmediği için kurumsal güvenlik duvarları geçiliyor! -- Token ile bot devre dışı bırakılabilir: Telegram @BotFather → revoke token
Geliştirici: vagan
C:\Users\vagan\OneDrive\ -- Kullanıcı adı: "vagan" (Ermeni/Rus ismi) -- OneDrive kullanıyor: Microsoft hesabı mevcut -- OneDrive\: proje dosyaları OneDrive'da = cloud geliştirme ortamı
WiFi Geolocation + Victim Profiling
https://api.mylnikov.org/geolocation/wifi -- WiFi access point geolocation! http://ip-api.com/json/ -- IP tabanlı konum GetHWID -- Donanım ID toplama GetDefaultGateway -- Ağ topoloji tespiti -- ToxicEye kurban profilini oluşturuyor: 1. WiFi AP → fiziksel konum (IP'den daha kesin!) 2. IP → ISP/şehir/ülke 3. HWID → benzersiz makina tanımlayıcı 4. Default Gateway → ağ altyapısı
Sandbox/VM Tespiti
inSandboxie -- Sandboxie konteyner tespiti Sandboxie: -- Sandboxie string vmware -- VMware VM kontrolü
IOC
| SHA256 | 294e5efb8db8a8e1114176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Bot Token | 5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ |
| PDB | C:\Users\vagan\OneDrive\ |
TelegramRAT — Malware Profile
ToxicEye TelegramRAT .NET. Telegram bot C2 getUpdates polling. WiFi geoloc API. vagan gelistirici. Sandboxie vmware detect.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
Telegram API
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — TelegramRAT
#
5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ
| Type | Value | Note |
|---|---|---|
| 5245693641:AAF7eZrRjdXCkx-zaq0R9OGO7Zy2XnOizLQ |