Manuel Statik Analiz (LLM Okumali) — AsyncRAT (Turkce Finans Tuzagi) | Tehdit: KRITIK

Datei Kimligi

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
Orijinal AdBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
Größe752.640 byte
Dil.NET Framework 4.0

Teslimat: Turk Finans Belgesi Tuzagi

Bu ornek Turkce konusanlari hedef alan bir AsyncRAT kampanyasinin parcasidir. Datei adi "Borclularin Cekleri Gun Basi 25.06.2026" anlamina gelmekte olup finans/muhasebe personeline yonelik hedefli bir teslimat gostermektedir.

Gelistirici Izi — PDB Yolu

C:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\obj\Debug\PmGo.pdb

Bu PDB yolundan elde edilen bilgiler:

  • Gelistirici sistemi: Administrator hesabiyla calistirilmis — tipik bir VPS/RDP ortami
  • Rastgele temp klasoru: zmaeQNBJja — dinamik uretilmis derleme ortami
  • Dahili proje adi: PmGo
  • Build tipi: Debug modu

IOC

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
LureBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
HedefTurk finans/muhasebe personeli
PDBC:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\...\PmGo.pdb
C2Sifrelenmis TCP (dinamik analiz gerekli)

AsyncRAT — Malware-Profil

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

Malware-Typ
RAT
Programmiersprache
.NET C#
C2-Protokoll
TCP/SSL
Zielsysteme
Windows
Auch bekannt als (AKA)
AsyncClient

Technische Details

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Attribution / Bedrohungsakteur

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Fähigkeiten & Verhalten

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC-Liste (1 Indikatoren)

IOC — AsyncRAT
# SHA256 70c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
TypWertBemerkung
sha256 70c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d

C2-Server (8 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
asyncratratturk-lureborclu-ceklerpdb-admintcp-sifrelenmisfinans-tuzak