Manuel Statik Analiz — DarkGate | Tehdit: YUKSEK
Archivo Kimliği
| SHA256 | a279ff2f21dd7f7d1864834b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Nombre de archivo | a279ff2f21dd7f7d... (7z arşiv içinde payload) |
| Tamaño | 1.864.834 byte → 7z → PE |
| String Sayisi | 8.513 |
C2: 8Z9f.gg (.GG TLD)
C2 Tespit: 8Z9f.gg domain!
8Z9f.gg -- .GG = Guernsey İngiliz Ülkesi TLD (gaming toplulukları kullanır) -- "8Z9f" = 4 karakter rastgele alfanumerik (obfuskated domain name) -- DarkGate .gg TLD kullanımı: gaming'e karışarak trafik gizleme -- Büyük/küçük harf karışımı: "8Z9f" = 8 + Z + 9 + f
Kaynak Kodda c2 Substring Referansları
O/c2k( [.c22 ]Q.Gc2 xhPc2T -- "c2" = C2 (Command & Control) referansları XOR/RC4 obfuskasyon içinde -- DarkGate C2 string: şifrelenmiş ama "c2" parçaları gözüküyor -- Birden fazla varyasyon: c2k, c22, Gc2, c2T → polimorfik config
DarkGate Hakkında
DarkGate 2018'de Delphi ile yazılmış ama 2023'ten itibaren MaaS olarak satılmaya başlandı. Teams/Skype phishing, malvertising ve zip arşivlerle dağıtılır. Keylogger, credential stealer, remote access ve crypto mining modülleri vardır. TA577 grubu kullandı. C2: HTTPS + IRC benzeri protokol.
IOC
| SHA256 | a279ff2f21dd7f7d1864834b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | 8Z9f.gg |
DarkGate2 — Perfil del malware
DarkGate 2018 Delphi MaaS 2023. 8Z9f.gg .GG TLD C2. 7z archive. Teams Skype phishing. Keylogger + stealer + miner.
Tipo de malware
Loader
Lenguaje de programación
Delphi/C++
Protocolo C2
HTTPS
Sistemas objetivo
Küresel
Capacidades y comportamiento
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Lista IOC (1 indicadores)
IOC — DarkGate2
# DOMAIN
8z9f.gg
| Tipo | Valor | Nota |
|---|---|---|
| domain | 8z9f.gg |
Servidores C2 (1 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| 8Z9f.gg | domain | 443 | HTTPS | inactive | — |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.