Manuel Statik Analiz — SparkRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA25691a2945d99ee794a1576960b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıChromeSetup.msi
Boyut1.576.960 byte (1.5MB MSI)
String Sayisi7.774

Gerçek Chrome GUID Kötüye Kullanımı

Güvenilir GUID Sahteciği: Google Chrome'un gerçek MSI GUID'ini kullanıyor!
appguid={8A69D345-D564-463C-AFF1-A69D9E530F96}&iid={0E5B0AC6-A47F-...
-- {8A69D345-D564-463C-AFF1-A69D9E530F96} = Google Chrome'un GERÇEK uygulama GUID'i!
-- Bu GUID Chrome'un resmi MSI kurulumcularında bulunur
-- Saldırgan resmi Chrome kurulumcusunu trojanize etti:
  1. Orijinal Chrome MSI'dan GUID kopyalandı
  2. SparkRAT payload eklendi
  3. Görünürde meşru Chrome GUID → imza doğrulaması "başarılı" gibi görünür
-- Chrome GUID + ChromeSetup.msi = mükemmel kılık kombinasyonu

SparkRAT Hakkında

SparkRAT 2022'de Go diliyle yazılmış açık kaynaklı cross-platform RAT'tır. Windows, macOS, Linux destekler. WebSocket protokolü üzerinden C2 iletişimi. Terminal, dosya yönetimi, ekran paylaşımı, process yönetimi, network tünelleme özellikleri vardır. Çinli tehdit aktörlerince sıklıkla kullanılır.

IOC

SHA25691a2945d99ee794a1576960b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
KılıkChromeSetup.msi (gerçek Chrome GUID: {8A69D345-D564-463C-AFF1-A69D9E530F96})

SparkRAT — Malware Profile

SparkRAT 2022 Go dili cross-platform. ChromeSetup.msi Chrome GUID 8A69D345. WebSocket C2. Windows/macOS/Linux.

Malware Type
RAT
Programming Language
Go
C2 Protocol
WebSocket/HTTPS
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — SparkRAT
# SHA256 91a2945d99ee794a1576960b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 91a2945d99ee794a1576960b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
sparkratchromesetup-msireal-chrome-guid-8a69d345trojanized-chrome-installerchrome-appguidmsi-chrome-disguise