Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK

Dosya Kimliği

SHA256d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut632.320 byte (632KB)
String Sayisi4.840

İki C2 Domain: objects.json Config Çekimi

CANLI C2: /objects.json endpoint!
https://sub.domadifn.com/objects.json
https://subf.domafaifn.com/objects.json
-- "domadifn.com" ve "domafaifn.com" = benzer ama farklı iki domain
-- Her ikisi de "/objects.json" endpoint: JSON config dosyası çekme
-- "sub." ve "subf." = iki farklı subdomain → yedekli C2 altyapısı
-- objects.json = FickerStealer runtime konfigürasyonu:
  {"c2": "...", "key": "...", "targets": [...], "modules": [...]}
-- İkili domain: birincil domain engellenince ikincil devreye giriyor

SmartAssembly .NET Obfuskörü

MulticastDelegate
SmartAssembly.Delegates
CreateMemberRefsDelegates
CreateGetStringDe[legates]
-- SmartAssembly = Red Gate tarafından geliştirilen .NET obfuscator
-- "SmartAssembly.Delegates" = obfuscator namespace'i (silinmemiş)
-- Delegate şifresi çözme: CreateGetStringDelegates → runtime decrypt
-- Tüm string'ler şifreli → runtime'da çözülüyor → AV'yi geçiyor

Şifre Çözme + Hostname Toplama

set_Key          -- Şifreleme anahtarı ayarlama
CreateDecryptor  -- AES/DES decryptor instance
GetHostName      -- Kurban bilgisayar adı toplama
Connect          -- C2'ye bağlanma

IOC

SHA256d79a1f94e5bd55d0632320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2 #1sub.domadifn.com (/objects.json)
C2 #2subf.domafaifn.com (/objects.json)

FickerStealer — Malware Profile

FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.

Malware Type
Infostealer
Programming Language
Rust
C2 Protocol
HTTP
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (2 indicators)

IOC — FickerStealer
# sub.domadifn.com # subf.domafaifn.com
TypeValueNote
sub.domadifn.com
subf.domafaifn.com

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
domadifn.com domain 443 HTTPS inactive —
domafaifn.com domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
fickerstealerdomadifn-com-c2domafaifn-com-c2objects-json-endpointsmartassembly-obfuscatorcreateDecryptorgethostname-theft