Manuel Statik Analiz — Eternity Stealer (VBScript Loader) | Tehdit: YUKSEK

Dosya Kimliği

SHA2561aa3321c7e05114a459013b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıINVOICE-7141.JPEG.vbs
Boyut459.013 byte
String Sayisi1 (tek URL — tamamı obfuskas!)

Çift Uzantı Tuzağı

Sosyal Mühendislik: Windows uzantı gizleme ayarında kullanıcıya sadece "INVOICE-7141.JPEG" görünüyor — .vbs gizleniyor!
INVOICE-7141.JPEG.vbs
-- Windows: "bilinen dosya uzantılarını gizle" aktif → ".JPEG" görünür
-- Kullanıcı fatura JPEG dosyası sanıp çalıştırıyor
-- Gerçek: VBScript (Windows Script Host ile çalışır)
-- Neredeyse tüm string'ler obfuskasyon içinde — sadece 1 string çıkarıldı!

Hash Tabanlı .ru C2

39d30cfe5d033f4342c289362d.ru
39d30cfe5d033f4342c289362d.rU   -- büyük U (case variation anti-IDN)
-- "39d30cfe5d033f4342c289362d" = 26 karakter hex hash subdomain
-- .ru Rusya TLD C2
-- Hash subdomain = her kurban için benzersiz takip URL'si

Eternity Project Hakkında

Eternity Project, 2022'de Telegram üzerinden satılan modüler MaaS platformudur. Stealer, Clipper, Worm, Ransomware ve DDoS modülleri ayrı ayrı satın alınabilir. $260/yıl gibi düşük fiyatla erişilebilir olmaktadır.

IOC

SHA2561aa3321c7e05114a459013b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C239d30cfe5d033f4342c289362d.ru (hash subdomain)
LureINVOICE-7141.JPEG.vbs (çift uzantı)

EternityPrj — Malware Profili

Eternity Project MaaS Telegram 2022. $260/yıl. Stealer+Clipper+Worm+Ransom. JPEG.vbs double extension.

Malware Tipi
Infostealer
Programlama Dili
VBScript
C2 Protokolü
HTTPS
Hedef Sistemler
Kuresel

Yetenekler ve Davranış

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC Listesi (1 gösterge)

IOC — EternityPrj
# DOMAIN 39d30cfe5d033f4342c289362d.ru
TürDeğerNot
domain 39d30cfe5d033f4342c289362d.ru

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
39d30cfe5d033f4342c289362d.ru domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
eternitystealerinvoice-jpeg-vbsdouble-extensionhash-domainru-tldvbscript-loader