Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK

Fichier Kimliği

SHA2566fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nom du fichiermixsix_20211018-121016 (2021-10-18 12:10:16 zaman damgası)
Taille569.356 byte (569KB)
String Sayisi4.361

Rust Langage de programmation Tespiti

Rust Tabanlı Malware: _ZN5alloc Rust isim mangling sembolü tespit edildi!
__ZN5alloc11collections5btree8navigate227...
-- _ZN = Itanium C++ ABI isim mangling (Rust da kullanır)
-- 5alloc = "alloc" (5 karakter) Rust bellek ayırma crate'i
-- 11collections = Rust koleksiyonlar modülü
-- 5btree = B-tree veri yapısı (Rust standart kütüphane)
-- 8navigate = tree traversal fonksiyonu
-- SONUÇ: Bu binary Rust derleyicisiyle üretilmiş!

Zaman Damgalı Nom du fichier

mixsix_20211018-121016
-- "mixsix" = operasyonel takma ad veya build tag
-- 20211018 = 2021-10-18 (18 Ekim 2021)
-- 121016 = saat 12:10:16
-- Geliştirici build sistemi çıktısı (timestamp embedded)

FickerStealer Hakkında

FickerStealer 2020'de Rusça yeraltı forumlarında ortaya çıkan ve $200/ay fiyata MaaS olarak satılan Rust-tabanlı info stealer'dır. Tarayıcı kimlik bilgileri, kripto cüzdanlar, Steam/Discord, e-posta clientları hedefler. Rust kullanımı: AV imza tespitini zorlaştırır, performans avantajı sağlar.

IOC

SHA2566fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
DilRust (_ZN5alloc Rust stdlib)
Timestampmixsix_20211018-121016

FickerStealer — Profil du malware

FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.

Type de malware
Infostealer
Langage de programmation
Rust
Protocole C2
HTTP
Systèmes ciblés
Küresel

Capacités et comportement

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Liste IOC (1 indicateurs)

IOC — FickerStealer
# SHA256 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValeurNote
sha256 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63

Serveurs C2 (2 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
domadifn.com domain 443 HTTPS inactive —
domafaifn.com domain 443 HTTPS inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
fickerstealerrust-languagezn5alloc-rust-symbolrust-name-manglingmixsix-20211018-timestamprust-stealer