Manuel Statik Analiz — Tofsee Spambot | Tehdit: YUKSEK

Dosya Kimliği

SHA256ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1
Boyut78.336 byte (76KB) — minimal boyut!
String Sayisi546

C:\Users\Bruno\Desktop\file.exe: Geliştirici PDB

GELİŞTİRİCİ: "Bruno" + "file.exe" — en geçici isim!
C:\Users\Bruno\Desktop\file.exe
-- "Bruno" = İtalyan/Portekiz/Brezilya adı
-- "file.exe" = EN geçici build ismi (isim bile vermemiş!)
-- "Desktop\" = doğrudan masaüstünde çalışıyor
-- "file.exe": ikinci kez "file.exe" ismini kullanan geliştirici gördük
  - (LokiBot2'nin ISO'su içinde de "file" referansı)
-- Bruno: spambot operatörü masaüstünde test ederken göndermiş

NtQueryInformationToken: Token Yetki Kontrolü

NtQueryInformationToken
-- "InformationToken" = Windows erişim token'ı bilgisi
-- NT katmanı: admin/sistem ayrıcalığı kontrolü
-- Tofsee: spam göndermek için gerekli ayrıcalıkları kontrol eder
-- Yetki yoksa: hata döner veya UAC bypass dener

ESMTP + mx connect + "Too big smtp respons": Spam Protokolü

SPAM: Doğrudan SMTP ile spam gönderim!
ESMTP
Too big smtp respons (%d bytes)    -- YAZIM HATASI: "response" → "respons"!
Error sending command (sent = %d/%d)
mx connect
-- ESMTP = Extended Simple Mail Transfer Protocol
-- "mx connect" = MX (Mail eXchanger) kaydına doğrudan bağlantı
  - MX lookup: hedef e-posta sunucusunu doğrudan bulur (relay gerektirmez)
-- "Too big smtp respons" = TYPO! "response" değil "respons"
  - Geliştirici yazım hatası → İngilizce anadili olmayan geliştirici
  - Tanımlayıcı imza: bu typo Tofsee'nin tüm sürümlerinde bulunabilir
-- Tofsee: 250M+ spam/gün kapasitesi olan büyük spam ağı

IOC

SHA256ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1
PDBC:\Users\Bruno\Desktop\file.exe
Typo"Too big smtp respons" (karakteristik yazım hatası)

Tofsee — Malware Profili

Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.

Malware Tipi
Botnet
Programlama Dili
C++
C2 Protokolü
TCP
Hedef Sistemler
Kuresel Email

Yetenekler ve Davranış

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC Listesi (1 gösterge)

IOC — Tofsee
# SHA256 ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1
TürDeğerNot
sha256 ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1
Etiketler
tofseespambotbruno-desktop-file-exe-pdbntqueryinformationtoken-privilege-checkesmtp-smtp-spammx-connect-mailservertoo-big-smtp-respons-typogettickcountcomp-anti-debug