Manuel Statik Analiz — QuasarRAT (XRat) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | ef19d077de5b50ab660992b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | starkbucks.exe ("Starbucks" tiposquatting!) |
| Boyut | 660.992 byte (.NET C#) |
| String Sayisi | 3.519 |
Starbucks Tiposquatting
Kamuflaj: "stark-bucks" → Starbucks'a benzer isim. İnsan gözüne ilk bakışta meşru görünüyor!
starkbucks.exe -- "Stark" + "bucks" = "Starbucks" visual confusaion -- Finans/para konusuyla ilgili lure -- Meşru Starbucks uygulaması gibi görünüyor
Coğrafi Konum Tespiti
https://freegeoip.net/xml/ -- Kurbanın IP → ülke/şehir bilgisi alınıyor -- Hedefli ülkelere seçici enfeksiyon (sandbox atlatma) -- freegeoip.net = ücretsiz IP geolocation API
AES Şifreleme
encryptionEnabled = true CreateEncryptor -- AES şifreleme başlat CreateDecryptor -- AES çözme
Bitcoin Cüzdanları
1AUY3PgS4r3UDo4iWXF1yB13xrq9 3KWcAMq2iQjetBTpn9rMLCBpbmIMPVL4
IOC
| SHA256 | ef19d077de5b50ab660992b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Kamuflaj | starkbucks.exe (Starbucks tiposquat) |
| Geo | freegeoip.net/xml/ (coğrafi kontrol) |
| BTC | 1AUY3PgS4r3UDo4iWXF1yB13xrq9 |
XRat — Malware Profile
QuasarRAT/XRat .NET C# 2014. starkbucks.exe tiposquatting. freegeoip.net geo-check. AES.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Kuresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (2 indicators)
IOC — XRat
# DOMAIN
freegeoip.net
# MUTEX
1AUY3PgS4r3UDo4iWXF1yB13xrq9
| Type | Value | Note |
|---|---|---|
| domain | freegeoip.net | |
| mutex | 1AUY3PgS4r3UDo4iWXF1yB13xrq9 | BTC cüzdanı |