CardGame) gomulmus, Turkce mali kurbanlar
hedef alan bir dropper/loader'dir.
Dosya Kimligi
| SHA256 | 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 |
|---|---|
| Orijinal Ad | Borclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe |
| Boyut | 752.640 byte (~735 KB) |
| Dil / Runtime | C# / .NET Framework 4.7.2 |
| Uygulama Adi | CardGame (kart oyunu kisivigi) |
| GUID | $50BC07E4-A00D-4622-ACCC-EE52302E42AD |
Sosyal Muhendislik
| Hedef Kitle | Turkce konusan mali kurbanlar |
|---|---|
| Kimlik | "Borclusu_Olunan_Cekler" = "Borclulardan Gelen Cekler" — finansal belge aldatmacasi |
| Yontem | Finans belgesi kisvesiyle exe dagitimi (e-posta/mesajlasma) |
Teknik Analiz — Trojanized Uygulama
Ikili dosya, tum string'ler incelendiginde meşru bir seracilik/kart oyunu simulasyonu (CardGame.exe / GreenhouseClimateZone) oldugu gorulmektedir. Ancak bu, tespitten kacmak icin secilmis bir kiyafettir.
Loader Ozellikleri (String Kanitlari)
- Dusurulecek payload:
PmGo.exe(satirlar icinde tespit edildi) - Gomulu payload: Sifrelenmis .NET embedded resource olarak muhtemelen AsyncRAT
- channelKey string'i: C2 iletisim anahtari veya sifreleme anahtari
- Gizlenme: RotateGreenhouseHarvest, AgronomicSignature, EvapotranspirationMM gibi meşru agronomic API isimleri
PNG/ICO Kaynaklari (IDATx Chunk)
Binary icinde birden fazla PNG veri blogu var (IDATx^ basligi) — bunlar kart oyunu gorsellerinin yani sira sifreli payload tasiyabilir.
Teknik Yetenekler (Potansiyel)
- Payload Indirme/Dusurme — PmGo.exe yazma ve calistirma
- AsyncRAT RAT Islevleri (muhtemelen gomulu payload uzerinden): Keylogger, Screenshot, Uzaktan Erisim, Dosya Yoneticisi
- Anti-AV — meşru uygulama kisivesiyle imza tespitinden kacma
C2 Durumu
Tavsiye: Dinamik analiz (sandbox) ile PmGo.exe'nin ag faaliyetleri izlenmelidir.
IOC'lar
| SHA256 | 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 |
|---|---|
| Dusurme Dosyasi | PmGo.exe |
| GUID | 50BC07E4-A00D-4622-ACCC-EE52302E42AD |
| channelKey | AsyncRAT C2 iletisim anahtari (sifrelenmis) |
Teknik Ozet
Bu ornek, Haziran 2026'da tespit edilen, "Borclusu Olunan Cekler" (borclu cekler) kimligiyle Turkce konusan kullanicilari hedef alan karmasik bir AsyncRAT dropper'idir. Zekice bir sosyal muhendislik saldirisi: bir seracilik/kart oyunu simulasyonunun arkasindan saklanarak, gercek bir C# uygulamasi olarak imzalanmamis ama gorunum itibarayle meşru gorunen bu binary, PmGo.exe adini verilen AsyncRAT yuk dosyasini kullana calistiriyor. Payload sifrelenmis embedded resource olarak saklandigi icin statik analiz C2 adresini cozemiyor; sandbox analizi gerekmektedir.
AsyncRAT — Malware Profile
AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.
Technical Details
C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu
Attribution / Threat Actor
Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.
Capabilities & Behavior
IOC List (2 indicators)
# SHA256
70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
# FILEPATH
PmGo.exe
| Type | Value | Note |
|---|---|---|
| sha256 | 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 | |
| filepath | PmGo.exe |
C2 Servers (8 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| system.io | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.