Manuel Statik Analiz — Tofsee Spam Botnet | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | ec21a7eb3f763990280dfa0be8634cxx3b5a52933cd2dcf90038755aa2e1b4f |
|---|---|
| Boyut | 78.336 byte (küçük spam gönderici) |
| String Sayisi | 546 |
Spam Hedefleri
mail.ru -- Rus e-posta platformu (hedef/spam relay) yahoo.com -- Yahoo Mail (spam dağıtım hedefi)
Geliştirici İpucu — Bruno
PDB: Geliştirici "Bruno" adlı kişi dosyayı doğrudan masaüstünde derlemiş!
C:\Users\Bruno\Desktop\file.exe -- Geliştirici: "Bruno" (muhtemelen Portekizce konuşan) -- Masaüstünde "file.exe" adıyla derleme (acemi işareti?)
Anti-Debug
NtQueryInformationToken -- Token erişim kontrolü (sandbox tespit) GetTickCount -- Timing anti-debug
Tofsee Hakkında
Tofsee (Gheg/Cutwail), 2013'ten beri aktif spam botnetidir. Kripto para dolandırıcılığı, phishing ve malware dağıtımı için toplu e-posta göndermede kullanılır. Çift katmanlı şifreleme ve P2P ağ mimarisi kullanır. Bitcoin mining modülü de barındırır.
IOC
| SHA256 | ec21a7eb3f763990280dfa0be8634cxx3b5a52933cd2dcf90038755aa2e1b4f |
|---|---|
| PDB | C:\\Users\\Bruno\\Desktop\\file.exe |
| Spam Hedef | mail.ru, yahoo.com |
Tofsee — Malware Profili
Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.
Malware Tipi
Botnet
Programlama Dili
C++
C2 Protokolü
TCP
Hedef Sistemler
Kuresel Email
Yetenekler ve Davranış
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC Listesi (2 gösterge)
IOC — Tofsee
# DOMAIN
mail.ru
# DOMAIN
yahoo.com
| Tür | Değer | Not |
|---|---|---|
| domain | mail.ru | |
| domain | yahoo.com |