Manuel Statik Analiz (LLM Okumali) — AsyncRAT (Turkce Finans Tuzagi) | Tehdit: KRITIK

Arquivo Kimligi

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
Orijinal AdBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
Tamanho752.640 byte
Dil.NET Framework 4.0

Teslimat: Turk Finans Belgesi Tuzagi

Bu ornek Turkce konusanlari hedef alan bir AsyncRAT kampanyasinin parcasidir. Arquivo adi "Borclularin Cekleri Gun Basi 25.06.2026" anlamina gelmekte olup finans/muhasebe personeline yonelik hedefli bir teslimat gostermektedir.

Gelistirici Izi — PDB Yolu

C:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\obj\Debug\PmGo.pdb

Bu PDB yolundan elde edilen bilgiler:

  • Gelistirici sistemi: Administrator hesabiyla calistirilmis — tipik bir VPS/RDP ortami
  • Rastgele temp klasoru: zmaeQNBJja — dinamik uretilmis derleme ortami
  • Dahili proje adi: PmGo
  • Build tipi: Debug modu

IOC

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
LureBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
HedefTurk finans/muhasebe personeli
PDBC:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\...\PmGo.pdb
C2Sifrelenmis TCP (dinamik analiz gerekli)

AsyncRAT — Perfil do malware

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

Tipo de malware
RAT
Linguagem de programação
.NET C#
Protocolo C2
TCP/SSL
Sistemas-alvo
Windows
Também conhecido como (AKA)
AsyncClient

Detalhes técnicos

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Atribuição / Ator da ameaça

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Capacidades e comportamento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (1 indicadores)

IOC — AsyncRAT
# SHA256 70c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
TipoValorNota
sha256 70c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d

Servidores C2 (8 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
asyncratratturk-lureborclu-ceklerpdb-admintcp-sifrelenmisfinans-tuzak