Manuel Statik Analiz — IcedID (BazarLoader Ailesi) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 17014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | info_IR-99661418.msi |
| Boyut | 1.130.496 byte (MSI installer) |
| String Sayisi | 5.745 |
MSI Fatura Lure
info_IR-99661418.msi -- "IR" = "Invoice Request" (fatura talebi) -- "99661418" = sahte takip/sipariş numarası -- .msi: Windows Installer (yönetici meşruiyeti) -- Finansal departmanlara hedefli email
Guernsey TLD C2 Domain
NSABX.GG -- .gg = Guernsey (İngiliz Kanal Adaları) TLD -- "NSABX" = 5 büyük harf (rastgele DGA-benzeri) -- .gg TLD: gamer topluluğu kaynaklı, az engellenir -- IcedID'nin tercihli C2 iletişim yöntemi
IcedID Hakkında
IcedID (BokBot), 2017'de keşfedilen modüler banking trojan'ıdır. TrickBot ile ilişkilidir, Cobalt Strike ve ransomware yüklemek için loader olarak kullanılır. Process hollowing ve hooking ile tarayıcı trafiğini yakalar. 2022'de kaynak kodu sızdı.
IOC
| SHA256 | 17014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | NSABX.GG (.gg Guernsey TLD) |
| Lure | info_IR-99661418.msi (fatura talebi) |
IcedID2 — Malware Profili
IcedID BokBot banking trojan 2017. TrickBot ilişkili. Cobalt Strike loader. Process hollowing browser hook. NSABX.GG.
Malware Tipi
Backdoor
Programlama Dili
C++
C2 Protokolü
HTTPS
Hedef Sistemler
Küresel Finans
Yetenekler ve Davranış
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC Listesi (1 gösterge)
IOC — IcedID2
# DOMAIN
nsabx.gg
| Tür | Değer | Not |
|---|---|---|
| domain | nsabx.gg |
C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| nsabx.gg | domain | 443 | HTTPS | inactive | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.