Manuel Statik Analiz — DarkComet RAT | Tehdit: YUKSEK

Datei Kimliği

SHA25601e521b7dea93a8e775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
DateinameFacebook.exe (sosyal medya taklidi!)
Größe775.168 byte (757KB)
String Sayisi5.584

Facebook.exe: Sosyal Medya Taklidi

GİZLEME: Facebook masaüstü uygulaması taklidi!
Facebook.exe
-- Facebook'un masaüstü uygulaması gibi görünür
-- "Arkadaşından geldi, Facebook kurulumu" → güvenir tıklar
-- DarkComet: özellikle genç kullanıcıları hedef alır
-- Görev yöneticisinde: "Facebook.exe" → şüphe uyandırmaz

IAMStreamConfig4: Webcam ve Mikrofon Akışı

DONANIM CASUSLUK: DirectShow ile webcam/mikrofon izleme!
IAMStreamConfig4 (DirectShow COM arayüzü)
-- IAM = "IAMStreamConfig" = DirectShow streaming konfigürasyonu
-- "4" = arayüz versiyonu (DirectShow genişletmesi)
-- DarkComet: webcam'ı etkinleştirip kurbanı izleyebilir
-- Mikrofon akışı: odadaki konuşmaları kaydeder
-- DirectShow: Windows'un yerleşik medya çerçevesi → AV tespiti zor

MSConfig Başlangıç Kalıcılığı

SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder
-- MSConfig startup klasörü kaydı
-- DarkComet: sistem başlangıcında otomatik başlar
-- "Shared Tools\MSConfig" = msconfig.exe'nin yönettiği liste
-- Kalıcılık: restart sonrası da aktif

IOC

SHA25601e521b7dea93a8e775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
LureFacebook.exe (sosyal medya)
TeknikIAMStreamConfig4 webcam + MSConfig startup

DarkComet — Malware-Profil

DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.

Malware-Typ
RAT
Programmiersprache
Delphi
C2-Protokoll
TCP
Zielsysteme
Windows

Technische Details

Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer

Fähigkeiten & Verhalten

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC-Liste (1 Indikatoren)

IOC — DarkComet
# SHA256 01e521b7dea93a8e775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypWertBemerkung
sha256 01e521b7dea93a8e775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0

C2-Server (1 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
dkcomet.dedyn.io domain 1604 TCP inactive DE

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
darkcometfacebook-exe-disguiseiamstreamconfig4-webcam-streamdirectshow-audio-videomsconfig-startup-persistencentsysteminfo-anti-vm