Manuel Statik Analiz — AgentTesla JS Dropper | Tehdit: KRITIK
Dosya Kimligi
| SHA256 | af743f03eb5ff44c800adc390e461e15e904c23a471b30e95e5d73a3f0b8e54 |
|---|---|
| Dosya Adi | SWIFT_Payment_Receipt_30062026.js |
| Boyut | 354.411 byte |
| String Sayisi | 7.595 |
SWIFT Finansal Lure
Finans Sektoru Kamuflaj: SWIFT odeme makbuzu olarak sunulan bu JS dosyasi, banka ve finans kurumlarini hedef alir.
Danca Obfuske Stringleri
Ejendomsadministrationens -- Danca: "Emlak yonetimi" (sahte degisken) radiotelegrammet204 -- Danca: "radyo telegrami" (sahte degisken) Telegrama -- Sahte referans Vandskorpen, hildebrand -- Danca anlamsiz isimler (obfuske)
WSH ActiveX Cagrisi
var Blaa227 = new ActiveXObject("Scripting.FileSystemObject");
-- Windows Script Host dosya sistemi erisimi
-- AgentTesla payload disk uzerine yazar, sonra calistirir
IOC
| SHA256 | af743f03eb5ff44c800adc390e461e15e904c23a471b30e95e5d73a3f0b8e54 |
|---|---|
| Lure | SWIFT_Payment_Receipt_30062026.js |
| Obfuske | Danca anlamsiz string obfuske |
AgentTesla — Malware Profili
AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.
Malware Tipi
Infostealer
Programlama Dili
.NET
C2 Protokolü
SMTP/FTP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
Agent Tesla
Teknik Detaylar
C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot
Atıf / Tehdit Aktörü
Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.
Yetenekler ve Davranış
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC Listesi (1 gösterge)
IOC — AgentTesla
# SHA256
af743f03eb5ff44c800adc390e461e15e904c23a471b30e95e5d73a3f0b8e54
| Tür | Değer | Not |
|---|---|---|
| sha256 | af743f03eb5ff44c800adc390e461e15e904c23a471b30e95e5d73a3f0b8e54 | len=63 |
C2 Sunucuları (Bu aile için 8 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| digicert.com | domain | — | TCP | active | — |
| stem.ru | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
| dublincore.org | domain | — | TCP | active | — |
| googleapis.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| freightfacilitators.com | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.