Derin PE Analizi — PmGoRAT (Türkçe Hedefli .NET RAT) | Tehdit: YUKSEK

Dosya Kimliği

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Dosya AdıBorclusu_Olunan_Cekler (Türkçe: "Borçlu Olunan Çekler")
Boyut752 KB (.NET PE32)
Frameworkmscoree.dll → _CorExeMain (.NET)

Borclusu_Olunan_Cekler: Türkçe Hedefli Sosyal Mühendislik

TÜRKÇE HEDEF: Kurumsal Türk finans sektörüne yönelik lür!
Borclusu_Olunan_Cekler
-- Türkçe: "Borçlu Olunan Çekler" = "Outstanding Checks" / "Owed Checks"
-- Finans sektörü terminolojisi: muhasebe/tahsilat departmanları hedef
-- Kurumsal çalışan: "borçlu çekler listesi" açıklamak için tıklar
-- Phishing e-postası: "Ekte borçlu olunan çekler listesi bulunmaktadır"
-- Türkçe hedef: Türkiye'deki finans kurumları, KOBİ'ler hedef

C:\Users\Administrator\Desktop\Client\...\PmGo.pdb: Geliştirici PDB Sızıntısı

C:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\obj\Debug\PmGo.pdb
┌─────────────────────────────────────────────────────
│ Geliştirici kullanıcı adı : Administrator
│ Proje ismi               : PmGo (→ "PmGo RAT")
│ Proje yolu               : Desktop\Client\ (masaüstünde geliştirme)
│ Build türü               : Debug (yayın öncesi test aşaması)
│ Temp klasörü             : zmaeQNBJja (10-char rastgele tanımlayıcı)
└─────────────────────────────────────────────────────
-- "Administrator" kullanıcı adı: attacker özel VM/makinesinde geliştirme
-- Masaüstünde "Client" projesi: RAT istemci bileşeni
-- "PmGo": proje adı → "PmGo RAT" olarak adlandırılıyor
-- "zmaeQNBJja": her derleme için değişen rastgele temp dizin adı
-- Debug build: proje hâlâ geliştirme/test aşamasında

Resources.Ru: Rus Kaynaklı Namespace Kalıntısı

Resources.Ru
-- .Ru TLD: Rusya kaynaklı kaynak kod veya kütüphane
-- "Resources.Ru" = Rus .NET geliştirici topluluğundan alınan namespace
-- Bu kalıntı: RAT kaynak kodunun Rusya kökenli olduğuna işaret ediyor
-- Türkçe lür + Rus kaynak kod kombinasyonu:
  - Rus tehdit aktörünün Türkiye'yi hedef aldığını gösteriyor
  - Veya: Rusça siber suç forumlarından satın alınan RAT builder

IOC

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Dosya AdıBorclusu_Olunan_Cekler
Proje AdıPmGo (PDB: C:\Users\Administrator\Desktop\Client\...\PmGo.pdb)

PmGoRAT — Malware Profile

PmGo custom .NET RAT. Turkish target: Borclusu_Olunan_Cekler (debt checks) lure. Administrator desktop PDB. zmaeQNBJja temp folder. Resources.Ru Russian namespace.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/HTTP
Target Systems
Türkiye/Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — PmGoRAT
# SHA256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
TypeValueNote
sha256 70c2fe27f67d5bd45f18c826a1dc1f852fa86b2de8271151a7b8c4d6d58f34d7
Tags
pmgoratpmgo-ratcustom-net-ratborclusu-olunan-cekler-turkish-debt-checks-lurezmaeqnbja-random-temp-folder-pdb-artifactadministrator-desktop-client-developer-pdb-pathresources-ru-russian-source-namespaceturkish-targeted-ratdebug-build-pdb-leak