Derin PE Analizi — PmGoRAT (Türkçe Hedefli .NET RAT) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 |
|---|---|
| Dosya Adı | Borclusu_Olunan_Cekler (Türkçe: "Borçlu Olunan Çekler") |
| Boyut | 752 KB (.NET PE32) |
| Framework | mscoree.dll → _CorExeMain (.NET) |
Borclusu_Olunan_Cekler: Türkçe Hedefli Sosyal Mühendislik
TÜRKÇE HEDEF: Kurumsal Türk finans sektörüne yönelik lür!
Borclusu_Olunan_Cekler -- Türkçe: "Borçlu Olunan Çekler" = "Outstanding Checks" / "Owed Checks" -- Finans sektörü terminolojisi: muhasebe/tahsilat departmanları hedef -- Kurumsal çalışan: "borçlu çekler listesi" açıklamak için tıklar -- Phishing e-postası: "Ekte borçlu olunan çekler listesi bulunmaktadır" -- Türkçe hedef: Türkiye'deki finans kurumları, KOBİ'ler hedef
C:\Users\Administrator\Desktop\Client\...\PmGo.pdb: Geliştirici PDB Sızıntısı
C:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\obj\Debug\PmGo.pdb ┌───────────────────────────────────────────────────── │ Geliştirici kullanıcı adı : Administrator │ Proje ismi : PmGo (→ "PmGo RAT") │ Proje yolu : Desktop\Client\ (masaüstünde geliştirme) │ Build türü : Debug (yayın öncesi test aşaması) │ Temp klasörü : zmaeQNBJja (10-char rastgele tanımlayıcı) └───────────────────────────────────────────────────── -- "Administrator" kullanıcı adı: attacker özel VM/makinesinde geliştirme -- Masaüstünde "Client" projesi: RAT istemci bileşeni -- "PmGo": proje adı → "PmGo RAT" olarak adlandırılıyor -- "zmaeQNBJja": her derleme için değişen rastgele temp dizin adı -- Debug build: proje hâlâ geliştirme/test aşamasında
Resources.Ru: Rus Kaynaklı Namespace Kalıntısı
Resources.Ru -- .Ru TLD: Rusya kaynaklı kaynak kod veya kütüphane -- "Resources.Ru" = Rus .NET geliştirici topluluğundan alınan namespace -- Bu kalıntı: RAT kaynak kodunun Rusya kökenli olduğuna işaret ediyor -- Türkçe lür + Rus kaynak kod kombinasyonu: - Rus tehdit aktörünün Türkiye'yi hedef aldığını gösteriyor - Veya: Rusça siber suç forumlarından satın alınan RAT builder
IOC
| SHA256 | 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 |
|---|---|
| Dosya Adı | Borclusu_Olunan_Cekler |
| Proje Adı | PmGo (PDB: C:\Users\Administrator\Desktop\Client\...\PmGo.pdb) |
PmGoRAT — Malware Profile
PmGo custom .NET RAT. Turkish target: Borclusu_Olunan_Cekler (debt checks) lure. Administrator desktop PDB. zmaeQNBJja temp folder. Resources.Ru Russian namespace.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/HTTP
Target Systems
Türkiye/Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — PmGoRAT
# SHA256
70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
| Type | Value | Note |
|---|---|---|
| sha256 | 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7 |