Manuel Statik Analiz (LLM Okumali) — AsyncRAT (Turkce Finans Tuzagi) | Tehdit: KRITIK

Archivo Kimligi

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
Orijinal AdBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
Tamaño752.640 byte
Dil.NET Framework 4.0

Teslimat: Turk Finans Belgesi Tuzagi

Bu ornek Turkce konusanlari hedef alan bir AsyncRAT kampanyasinin parcasidir. Archivo adi "Borclularin Cekleri Gun Basi 25.06.2026" anlamina gelmekte olup finans/muhasebe personeline yonelik hedefli bir teslimat gostermektedir.

Gelistirici Izi — PDB Yolu

C:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\obj\Debug\PmGo.pdb

Bu PDB yolundan elde edilen bilgiler:

  • Gelistirici sistemi: Administrator hesabiyla calistirilmis — tipik bir VPS/RDP ortami
  • Rastgele temp klasoru: zmaeQNBJja — dinamik uretilmis derleme ortami
  • Dahili proje adi: PmGo
  • Build tipi: Debug modu

IOC

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
LureBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
HedefTurk finans/muhasebe personeli
PDBC:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\...\PmGo.pdb
C2Sifrelenmis TCP (dinamik analiz gerekli)

AsyncRAT — Perfil del malware

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

Tipo de malware
RAT
Lenguaje de programación
.NET C#
Protocolo C2
TCP/SSL
Sistemas objetivo
Windows
También conocido como (AKA)
AsyncClient

Detalles técnicos

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Atribución / Actor de amenaza

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Capacidades y comportamiento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (1 indicadores)

IOC — AsyncRAT
# SHA256 70c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
TipoValorNota
sha256 70c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d

Servidores C2 (8 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
asyncratratturk-lureborclu-ceklerpdb-admintcp-sifrelenmisfinans-tuzak