Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK

ファイル Kimliği

SHA2566fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
ファイル名mixsix_20211018-121016 (2021-10-18 12:10:16 zaman damgası)
サイズ569.356 byte (569KB)
String Sayisi4.361

Rust プログラミング言語 Tespiti

Rust Tabanlı Malware: _ZN5alloc Rust isim mangling sembolü tespit edildi!
__ZN5alloc11collections5btree8navigate227...
-- _ZN = Itanium C++ ABI isim mangling (Rust da kullanır)
-- 5alloc = "alloc" (5 karakter) Rust bellek ayırma crate'i
-- 11collections = Rust koleksiyonlar modülü
-- 5btree = B-tree veri yapısı (Rust standart kütüphane)
-- 8navigate = tree traversal fonksiyonu
-- SONUÇ: Bu binary Rust derleyicisiyle üretilmiş!

Zaman Damgalı ファイル名

mixsix_20211018-121016
-- "mixsix" = operasyonel takma ad veya build tag
-- 20211018 = 2021-10-18 (18 Ekim 2021)
-- 121016 = saat 12:10:16
-- Geliştirici build sistemi çıktısı (timestamp embedded)

FickerStealer Hakkında

FickerStealer 2020'de Rusça yeraltı forumlarında ortaya çıkan ve $200/ay fiyata MaaS olarak satılan Rust-tabanlı info stealer'dır. Tarayıcı kimlik bilgileri, kripto cüzdanlar, Steam/Discord, e-posta clientları hedefler. Rust kullanımı: AV imza tespitini zorlaştırır, performans avantajı sağlar.

IOC

SHA2566fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
DilRust (_ZN5alloc Rust stdlib)
Timestampmixsix_20211018-121016

FickerStealer — マルウェアプロファイル

FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.

マルウェアの種類
Infostealer
プログラミング言語
Rust
C2プロトコル
HTTP
標的システム
Küresel

機能と挙動

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOCリスト (1 件の指標)

IOC — FickerStealer
# SHA256 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
タイプメモ
sha256 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63

C2サーバー (このファミリーで2台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
domadifn.com domain 443 HTTPS inactive —
domafaifn.com domain 443 HTTPS inactive —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
fickerstealerrust-languagezn5alloc-rust-symbolrust-name-manglingmixsix-20211018-timestamprust-stealer