Manuel Statik Analiz — DarkComet | Tehdit: YUKSEK

Dosya Kimliği

SHA25601e521b7dea93a8e7751688b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıFacebook.exe (Facebook sosyal medya taklidi!)
Boyut775.168 byte (775KB)
String Sayisi5.584

Facebook Sosyal Medya Taklidi

Facebook.exe
-- Facebook Messenger veya Facebook uygulaması kisvesi
-- Genç kullanıcılar ve Orta Doğu/Afrika hedef segmenti
-- "Arkadaşın sana bir mesaj uygulaması gönderdi" lure
-- DarkComet'in Facebook.exe versiyonu bu bölgelerde çok yaygın

DarkComet Config String'leri

GateWay          -- C2 gateway hostname/IP config anahtarı
NoControlPanel   -- Windows Kontrol Paneli gizleme (persistence)
Control Panel\Desktop  -- Masaüstü registry kayıt yeri
CreateMutexA     -- Tek örnek mutex

IOC

SHA25601e521b7dea93a8e7751688b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
KamuflajFacebook.exe (sosyal medya)
ConfigGateWay / NoControlPanel

DarkComet2 — Malware Profile

DarkComet 2008 Fransız gelistirici. Facebook.exe sosyal medya lure. GateWay config. NoControlPanel. Orta Dogu/Afrika yaygın.

Malware Type
RAT
Programming Language
Delphi
C2 Protocol
TCP
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — DarkComet2
# SHA256 01e521b7dea93a8e7751688b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 01e521b7dea93a8e7751688b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
darkcometfacebook-exefacebook-impersonationgateway-confignocontrolpanelcontrol-panel-hidesocial-media-lure