Manuel Statik Analiz — SolarMarker (YellowCockatoo) | Tehdit: ORTA

Dosya Kimliği

SHA2566d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıinstall-x86 (2).exe ("(2)" = tarayıcıdan tekrar indirme!)
Boyut1.592.234 byte (1.6MB)
String Sayisi6.498

PowerShell WPF Yüklemesi

Add-Type -AssemblyName PresentationCore,PresentationFramework;[System.Windows.Message...
-- Add-Type ile .NET WPF assembly yükleme
-- PresentationFramework = Windows Presentation Foundation
-- MessageBox gibi UI gösterme veya gizli WPF penceresi aracılığıyla payload çalıştırma
-- PowerShell tek satır → anti-forensics

Bitcoin Cüzdanlar

116jt1i6vHZshXsa52CeHqtCd222NPJGZou
11CGykdcZbe1qoWj9kUybS3cRD4TanDjx1h

IOC

SHA2566d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
BTC116jt1i6vHZshXsa52CeHqtCd222NPJGZou

SolarMarker — Malware Profile

SolarMarker/Jupyter infostealer. PowerShell embedded host. Fake MSVCR120.dll error. Base64 payload. PSHost automation.

Malware Type
Backdoor
Programming Language
PowerShell/.NET
C2 Protocol
HTTPS
Target Systems
Kurumsal

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (2 indicators)

IOC — SolarMarker
# MUTEX 116jt1i6vHZshXsa52CeHqtCd222NPJGZou # MUTEX 11CGykdcZbe1qoWj9kUybS3cRD4TanDjx1h
TypeValueNote
mutex 116jt1i6vHZshXsa52CeHqtCd222NPJGZou BTC cüzdanı
mutex 11CGykdcZbe1qoWj9kUybS3cRD4TanDjx1h BTC cüzdanı
Tags
solarmarkeryellowcockatooinstall-x86powershell-presentationframework116jt1i-btcfake-installerps-dropper