Manuel Statik Analiz — SolarMarker (YellowCockatoo) | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 6d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | install-x86 (2).exe ("(2)" = tarayıcıdan tekrar indirme!) |
| Boyut | 1.592.234 byte (1.6MB) |
| String Sayisi | 6.498 |
PowerShell WPF Yüklemesi
Add-Type -AssemblyName PresentationCore,PresentationFramework;[System.Windows.Message... -- Add-Type ile .NET WPF assembly yükleme -- PresentationFramework = Windows Presentation Foundation -- MessageBox gibi UI gösterme veya gizli WPF penceresi aracılığıyla payload çalıştırma -- PowerShell tek satır → anti-forensics
Bitcoin Cüzdanlar
116jt1i6vHZshXsa52CeHqtCd222NPJGZou 11CGykdcZbe1qoWj9kUybS3cRD4TanDjx1h
IOC
| SHA256 | 6d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| BTC | 116jt1i6vHZshXsa52CeHqtCd222NPJGZou |
SolarMarker — Malware Profile
SolarMarker/Jupyter infostealer. PowerShell embedded host. Fake MSVCR120.dll error. Base64 payload. PSHost automation.
Malware Type
Backdoor
Programming Language
PowerShell/.NET
C2 Protocol
HTTPS
Target Systems
Kurumsal
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (2 indicators)
IOC — SolarMarker
# MUTEX
116jt1i6vHZshXsa52CeHqtCd222NPJGZou
# MUTEX
11CGykdcZbe1qoWj9kUybS3cRD4TanDjx1h
| Type | Value | Note |
|---|---|---|
| mutex | 116jt1i6vHZshXsa52CeHqtCd222NPJGZou | BTC cüzdanı |
| mutex | 11CGykdcZbe1qoWj9kUybS3cRD4TanDjx1h | BTC cüzdanı |