Manuel Statik Analiz — ModiLoader (DBatLoader) | Tehdit: YUKSEK

Dosya Kimliği

SHA256b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8
Dosya Adıflxfmg.exe
Boyut407.040 byte
String Sayisi3.310

Şifreli C2 Config Fragmentleri

2'212;2C2I2W2r2  -- C2 config şifreli veri bloğu
1+2@2c2{2        -- C2 config fragmenti
222C2            -- C2 referansı

ModiLoader/DBatLoader Hakkında

ModiLoader (DBatLoader), 2022'den beri aktif Delphi tabanlı loader ailesidir. AgentTesla, FormBook, LokiBot, Remcos gibi bilgi hırsızlarını ve RAT'ları yüklemek için kullanılır. İş konulu e-posta (spear-phishing) ile dağıtılır. Bulut depolama (OneDrive, Google Drive) üzerinden payload indirme özelliği vardır.

IOC

SHA256b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8

ModiLoader — Malware Profili

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

Malware Tipi
Loader
Programlama Dili
Delphi
C2 Protokolü
HTTP
Hedef Sistemler
Windows

Teknik Detaylar

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Yetenekler ve Davranış

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC Listesi (1 gösterge)

IOC — ModiLoader
# SHA256 b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8
TürDeğerNot
sha256 b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8
Etiketler
modiloaderdbatloaderloaderencrypted-c2agenttesla-dropper