Manuel Statik Analiz (LLM Okumali) — DBatLoader (ModiLoader) | Tehdit: YUKSEK

Dosya Kimligi

SHA25693dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32
Arsiv AdiROUVALISXWINESXINQUIRYXSHEET.pdf.lzh
FormatLZH arsivi — .pdf.lzh cift uzantisi ile kamufle
Boyut491.887 byte

Sosyal Muhendislik Vektoru

B2B Sosyal Muhendislik: "ROUVALLIS WINES INQUIRY SHEET" — sahte bir seker/sahap sirketi sorgu belgesi. Uluslararasi ticaret sektoru hedefli spear-phishing.
  • Cift uzanti: .pdf.lzh — kullanici .pdf gorur, gercekte arsiv
  • B2B sektor yemi: ticari sorgu belgesi, siparis listesi, fatura

DBatLoader (ModiLoader) Hakkinda

DBatLoader (ModiLoader), Delphi ve VB6 ile yazilmis bir downloader/loader ailesidir. Sahte ticaret belgeleri (LZH, ISO, PDF) ile dagitilir. AgentTesla, Remcos, NjRAT gibi ikinci asama RAT/stealerlar icin kullanilir. 2021'den bu yana aktif olan Turk ve Orta Avrupa hedefli kampanyalarla ozellikle bilinmektedir.

IOC

SHA25693dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32
YemROUVALISXWINESXINQUIRYXSHEET.pdf.lzh
HedefB2B / Ticaret Sektoru

DBatLoader — Malware Profili

DBatLoader/ModiLoader. PaymentXAdvice ZIP lure. Brazilian Portuguese targeting. pt-BR locale.

Malware Tipi
Loader
Programlama Dili
Delphi
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
ModiLoader

Teknik Detaylar

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Yetenekler ve Davranış

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC Listesi (1 gösterge)

IOC — DBatLoader
# SHA256 93dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32
TürDeğerNot
sha256 93dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32

C2 Sunucuları (Bu aile için 3 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
176.32.34.88 ip 80 HTTP active UA
194.33.45.78 ip 443 HTTPS inactive CZ
85.195.206.19 ip 80 HTTP inactive AT

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
dbatloadermodiloaderpdf-lzhticari-sozlesmeksosyal-muhendislikarsiv