Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Nom du fichier | mixsix_20211018-121016 (2021-10-18 12:10:16 zaman damgası) |
| Taille | 569.356 byte (569KB) |
| String Sayisi | 4.361 |
Rust Langage de programmation Tespiti
Rust Tabanlı Malware: _ZN5alloc Rust isim mangling sembolü tespit edildi!
__ZN5alloc11collections5btree8navigate227... -- _ZN = Itanium C++ ABI isim mangling (Rust da kullanır) -- 5alloc = "alloc" (5 karakter) Rust bellek ayırma crate'i -- 11collections = Rust koleksiyonlar modülü -- 5btree = B-tree veri yapısı (Rust standart kütüphane) -- 8navigate = tree traversal fonksiyonu -- SONUÇ: Bu binary Rust derleyicisiyle üretilmiş!
Zaman Damgalı Nom du fichier
mixsix_20211018-121016 -- "mixsix" = operasyonel takma ad veya build tag -- 20211018 = 2021-10-18 (18 Ekim 2021) -- 121016 = saat 12:10:16 -- Geliştirici build sistemi çıktısı (timestamp embedded)
FickerStealer Hakkında
FickerStealer 2020'de Rusça yeraltı forumlarında ortaya çıkan ve $200/ay fiyata MaaS olarak satılan Rust-tabanlı info stealer'dır. Tarayıcı kimlik bilgileri, kripto cüzdanlar, Steam/Discord, e-posta clientları hedefler. Rust kullanımı: AV imza tespitini zorlaştırır, performans avantajı sağlar.
IOC
| SHA256 | 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dil | Rust (_ZN5alloc Rust stdlib) |
| Timestamp | mixsix_20211018-121016 |
FickerStealer — Profil du malware
FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.
Type de malware
Infostealer
Langage de programmation
Rust
Protocole C2
HTTP
Systèmes ciblés
Küresel
Capacités et comportement
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
Liste IOC (1 indicateurs)
IOC — FickerStealer
# SHA256
6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Valeur | Note |
|---|---|---|
| sha256 | 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |
Serveurs C2 (2 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| domadifn.com | domain | 443 | HTTPS | inactive | — |
| domafaifn.com | domain | 443 | HTTPS | inactive | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.