Manuel Statik Analiz — LimeRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | kalyanonlinematkaapp.exe (Kalyan Matka Hindistan piyango uygulaması!) |
| Boyut | 399.872 byte (390KB) |
| String Sayisi | 362 |
Hindistan Kalyan Matka Piyango Teması
SOSYAL MÜHENDİSLİK: Hindistan'ın popüler piyango oyunu!
kalyanonlinematkaapp.exe -- KALYAN MATKA = Hindistan'ın en popüler sayı tahmin oyunu (yarı-yasal kumar) -- "online matka app" = mobil uygulama vaadiyle dağıtılıyor -- Kalyan Matka oyuncuları (milyonlarca kişi) hedef alınıyor -- "Uygulama indir" mesajıyla WhatsApp/Telegram üzerinden yayılıyor
C2 URL: kalyanonlinematkaapp.in.net/tai-app-kubet/
C2 TESPİT: Doğrudan C2 URL!
https://kalyanonlinematkaapp.in.net/tai-app-kubet/ -- Domain: kalyanonlinematkaapp.in.net (sahte uygulama domain'i) -- ".in.net" = ".in" Hindistan + ".net" kombinasyonu (sahte görünüm) -- Path: /tai-app-kubet/ = "tai" (Tayca?) + "kubet" (Vietnam kumar sitesi) -- Çok uluslu kumar odaklı operasyon: Hindistan + Vietnam + Tayland
VM Tespiti: Disk Enum
ANTİ-VM: Disk üreticisi kontrol!
-- Base64: U3lzdGVtXEN1cnJlbnRDb250cm9sU2V0XFNlcnZpY2VzXERpc2tcRW51bVw= -- Decode: "System\CurrentControlSet\Services\Disk\Enum\" -- Bu registry yolu disk üreticisi adını içerir -- Eğer "VMware" veya "VBOX" → sanal makine → çalışmayı durdur -- \vboxhook.dll = VirtualBox hook DLL varlığı da kontrol ediliyor
IOC
| SHA256 | 940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Kalyan Matka Hindistan piyango uygulaması |
| C2 URL | https://kalyanonlinematkaapp.in.net/tai-app-kubet/ |
LimeRAT — Malware Profile
LimeRAT Hindistan Kalyan Matka piyango temasiyla dağıtılan. kalyanonlinematkaapp.in.net C2. Disk Enum VM tespiti. AES crypto.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Windows
Technical Details
C# .NET, AES sifreleme, TCP, Plugin tabanlı: RAT + Miner + Ransomware + Stealer, Clipboard Bitcoin hijacker, Monero madenci dahili, UAC bypass, Anti-analysis
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — LimeRAT
# DOMAIN
in.net
| Type | Value | Note |
|---|---|---|
| domain | in.net |
C2 Servers (5 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| kalyanonlinematkaapp.in.net | domain | 443 | HTTPS | active | — |
| kalyanonlinematkaapp.in.net | domain | 443 | HTTPS | active | — |
| hu88999.com | domain | 443 | HTTPS | inactive | — |
| 45.90.222.109 | ip | 1177 | TCP | inactive | DE |
| 88.198.47.34 | ip | 4444 | TCP | inactive | DE |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.