Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK

Archivo Kimliği

SHA256d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tamaño632.320 byte (632KB)
String Sayisi4.840

İki C2 Domain: objects.json Config Çekimi

CANLI C2: /objects.json endpoint!
https://sub.domadifn.com/objects.json
https://subf.domafaifn.com/objects.json
-- "domadifn.com" ve "domafaifn.com" = benzer ama farklı iki domain
-- Her ikisi de "/objects.json" endpoint: JSON config dosyası çekme
-- "sub." ve "subf." = iki farklı subdomain → yedekli C2 altyapısı
-- objects.json = FickerStealer runtime konfigürasyonu:
  {"c2": "...", "key": "...", "targets": [...], "modules": [...]}
-- İkili domain: birincil domain engellenince ikincil devreye giriyor

SmartAssembly .NET Obfuskörü

MulticastDelegate
SmartAssembly.Delegates
CreateMemberRefsDelegates
CreateGetStringDe[legates]
-- SmartAssembly = Red Gate tarafından geliştirilen .NET obfuscator
-- "SmartAssembly.Delegates" = obfuscator namespace'i (silinmemiş)
-- Delegate şifresi çözme: CreateGetStringDelegates → runtime decrypt
-- Tüm string'ler şifreli → runtime'da çözülüyor → AV'yi geçiyor

Şifre Çözme + Hostname Toplama

set_Key          -- Şifreleme anahtarı ayarlama
CreateDecryptor  -- AES/DES decryptor instance
GetHostName      -- Kurban bilgisayar adı toplama
Connect          -- C2'ye bağlanma

IOC

SHA256d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2 #1sub.domadifn.com (/objects.json)
C2 #2subf.domafaifn.com (/objects.json)

FickerStealer — Perfil del malware

FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.

Tipo de malware
Infostealer
Lenguaje de programación
Rust
Protocolo C2
HTTP
Sistemas objetivo
Küresel

Capacidades y comportamiento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (2 indicadores)

IOC — FickerStealer
# sub.domadifn.com # subf.domafaifn.com
TipoValorNota
sub.domadifn.com
subf.domafaifn.com

Servidores C2 (2 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
domadifn.com domain 443 HTTPS inactive —
domafaifn.com domain 443 HTTPS inactive —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
fickerstealerdomadifn-com-c2domafaifn-com-c2objects-json-endpointsmartassembly-obfuscatorcreateDecryptorgethostname-theft