Manuel Statik Analiz — FickerStealer | Tehdit: YUKSEK

Arquivo Kimliği

SHA2566fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nome do arquivomixsix_20211018-121016 (2021-10-18 12:10:16 zaman damgası)
Tamanho569.356 byte (569KB)
String Sayisi4.361

Rust Linguagem de programação Tespiti

Rust Tabanlı Malware: _ZN5alloc Rust isim mangling sembolü tespit edildi!
__ZN5alloc11collections5btree8navigate227...
-- _ZN = Itanium C++ ABI isim mangling (Rust da kullanır)
-- 5alloc = "alloc" (5 karakter) Rust bellek ayırma crate'i
-- 11collections = Rust koleksiyonlar modülü
-- 5btree = B-tree veri yapısı (Rust standart kütüphane)
-- 8navigate = tree traversal fonksiyonu
-- SONUÇ: Bu binary Rust derleyicisiyle üretilmiş!

Zaman Damgalı Nome do arquivo

mixsix_20211018-121016
-- "mixsix" = operasyonel takma ad veya build tag
-- 20211018 = 2021-10-18 (18 Ekim 2021)
-- 121016 = saat 12:10:16
-- Geliştirici build sistemi çıktısı (timestamp embedded)

FickerStealer Hakkında

FickerStealer 2020'de Rusça yeraltı forumlarında ortaya çıkan ve $200/ay fiyata MaaS olarak satılan Rust-tabanlı info stealer'dır. Tarayıcı kimlik bilgileri, kripto cüzdanlar, Steam/Discord, e-posta clientları hedefler. Rust kullanımı: AV imza tespitini zorlaştırır, performans avantajı sağlar.

IOC

SHA2566fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
DilRust (_ZN5alloc Rust stdlib)
Timestampmixsix_20211018-121016

FickerStealer — Perfil do malware

FickerStealer Rust binary. mixsix internal build name. std::error type_id Rust mangled symbol.

Tipo de malware
Infostealer
Linguagem de programação
Rust
Protocolo C2
HTTP
Sistemas-alvo
Küresel

Capacidades e comportamento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (1 indicadores)

IOC — FickerStealer
# SHA256 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TipoValorNota
sha256 6fc629fbf3a2155e569356b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63

Servidores C2 (2 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
domadifn.com domain 443 HTTPS inactive —
domafaifn.com domain 443 HTTPS inactive —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
fickerstealerrust-languagezn5alloc-rust-symbolrust-name-manglingmixsix-20211018-timestamprust-stealer