Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK

Fichier Kimliği

SHA256d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Taille632.320 byte (632KB)
String Sayisi4.840

İki C2 Domain: objects.json Config Çekimi

CANLI C2: /objects.json endpoint!
https://sub.domadifn.com/objects.json
https://subf.domafaifn.com/objects.json
-- "domadifn.com" ve "domafaifn.com" = benzer ama farklı iki domain
-- Her ikisi de "/objects.json" endpoint: JSON config dosyası çekme
-- "sub." ve "subf." = iki farklı subdomain → yedekli C2 altyapısı
-- objects.json = FickerStealer runtime konfigürasyonu:
  {"c2": "...", "key": "...", "targets": [...], "modules": [...]}
-- İkili domain: birincil domain engellenince ikincil devreye giriyor

SmartAssembly .NET Obfuskörü

MulticastDelegate
SmartAssembly.Delegates
CreateMemberRefsDelegates
CreateGetStringDe[legates]
-- SmartAssembly = Red Gate tarafından geliştirilen .NET obfuscator
-- "SmartAssembly.Delegates" = obfuscator namespace'i (silinmemiş)
-- Delegate şifresi çözme: CreateGetStringDelegates → runtime decrypt
-- Tüm string'ler şifreli → runtime'da çözülüyor → AV'yi geçiyor

Şifre Çözme + Hostname Toplama

set_Key          -- Şifreleme anahtarı ayarlama
CreateDecryptor  -- AES/DES decryptor instance
GetHostName      -- Kurban bilgisayar adı toplama
Connect          -- C2'ye bağlanma

IOC

SHA256d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2 #1sub.domadifn.com (/objects.json)
C2 #2subf.domafaifn.com (/objects.json)

FickerStealer — Profil du malware

FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.

Type de malware
Infostealer
Langage de programmation
Rust
Protocole C2
HTTP
Systèmes ciblés
Küresel

Capacités et comportement

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Liste IOC (2 indicateurs)

IOC — FickerStealer
# sub.domadifn.com # subf.domafaifn.com
TypeValeurNote
sub.domadifn.com
subf.domafaifn.com

Serveurs C2 (2 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
domadifn.com domain 443 HTTPS inactive —
domafaifn.com domain 443 HTTPS inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
fickerstealerdomadifn-com-c2domafaifn-com-c2objects-json-endpointsmartassembly-obfuscatorcreateDecryptorgethostname-theft