Manuel Statik Analiz — CraxsRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA25612f2b7dc2ce5d510597602b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıCraxs.rar (kendi adıyla RAR dağıtım!)
Boyut5.976.020 byte (5.7MB)
String Sayisi28.232

Kendi Adıyla Dağıtım: Craxs.rar

NOT: Saldırgan kendi RAT adını kullanıyor!
Craxs.rar
Craxs.exe  ←  RAR içindeki birincil çalıştırılabilir
Built.exe  ←  İkincil yük (compiled/packed payload)
-- CraxsRAT = hem Windows hem Android RAT
-- "Craxs" = eski İngilizce "crack" (kırma) kelimesinin yazımı
-- Self-named dağıtım → düşük OPSEC (saldırgan araç adını gizlemiyor)

Dört C2 Substring

C2 KALIPLAR:
sI_C2?    -- C2 adres parçası (büyük/küçük mix)
6>c2      -- Düşük ASCII + c2 referans
Vc2*o     -- V prefix c2 pattern
VC2Q!     -- Büyük harf VC2Q dizisi
-- Dört farklı c2 substring = şifreli C2 adresi binary içine gömülü
-- Aynı XOR/RC4 şifreli C2 adresinin farklı offset'lerinden gelen parçalar

Anahtar Fragmanı

TB<kEyH~
-- "kEyH" = "key hash" veya anahtar parçası
-- Şifreleme anahtarının binary içindeki izleri
-- CraxsRAT AES şifreleme kullandığı biliniyor

IOC

SHA25612f2b7dc2ce5d510597602b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureCraxs.rar kendi adı (düşük OPSEC)
DosyalarCraxs.exe, Built.exe

CraxsRAT — Malware Profile

CraxsRAT hem Windows hem Android RAT. Craxs.rar kendi adiyla dagitim. Built.exe ikincil yuk. dört C2 substring.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/HTTP
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — CraxsRAT
# SHA256 12f2b7dc2ce5d510597602b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 12f2b7dc2ce5d510597602b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
craxsratcraxs-rar-self-namedcraxs-exe-built-exesi-c2-substringvc2o-substringvc2q-substringc2-fragmenttbkeyh-key-fragmentandroid-rat