Manuel Statik Analiz — Eternity Stealer (VBScript Loader) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 1aa3321c7e05114a459013b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | INVOICE-7141.JPEG.vbs |
| Boyut | 459.013 byte |
| String Sayisi | 1 (tek URL — tamamı obfuskas!) |
Çift Uzantı Tuzağı
Sosyal Mühendislik: Windows uzantı gizleme ayarında kullanıcıya sadece "INVOICE-7141.JPEG" görünüyor — .vbs gizleniyor!
INVOICE-7141.JPEG.vbs -- Windows: "bilinen dosya uzantılarını gizle" aktif → ".JPEG" görünür -- Kullanıcı fatura JPEG dosyası sanıp çalıştırıyor -- Gerçek: VBScript (Windows Script Host ile çalışır) -- Neredeyse tüm string'ler obfuskasyon içinde — sadece 1 string çıkarıldı!
Hash Tabanlı .ru C2
39d30cfe5d033f4342c289362d.ru 39d30cfe5d033f4342c289362d.rU -- büyük U (case variation anti-IDN) -- "39d30cfe5d033f4342c289362d" = 26 karakter hex hash subdomain -- .ru Rusya TLD C2 -- Hash subdomain = her kurban için benzersiz takip URL'si
Eternity Project Hakkında
Eternity Project, 2022'de Telegram üzerinden satılan modüler MaaS platformudur. Stealer, Clipper, Worm, Ransomware ve DDoS modülleri ayrı ayrı satın alınabilir. $260/yıl gibi düşük fiyatla erişilebilir olmaktadır.
IOC
| SHA256 | 1aa3321c7e05114a459013b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | 39d30cfe5d033f4342c289362d.ru (hash subdomain) |
| Lure | INVOICE-7141.JPEG.vbs (çift uzantı) |
EternityPrj — Malware Profili
Eternity Project MaaS Telegram 2022. $260/yıl. Stealer+Clipper+Worm+Ransom. JPEG.vbs double extension.
Malware Tipi
Infostealer
Programlama Dili
VBScript
C2 Protokolü
HTTPS
Hedef Sistemler
Kuresel
Yetenekler ve Davranış
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC Listesi (1 gösterge)
IOC — EternityPrj
# DOMAIN
39d30cfe5d033f4342c289362d.ru
| Tür | Değer | Not |
|---|---|---|
| domain | 39d30cfe5d033f4342c289362d.ru |
C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| 39d30cfe5d033f4342c289362d.ru | domain | 443 | HTTPS | inactive | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.