Manuel Statik Analiz — Tofsee | Tehdit: YUKSEK

Dosya Kimliği

SHA256ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Boyut78.336 byte (76KB — küçük spam botu)
String Sayisi546

Geliştirici: Bruno (Desktop/file.exe)

GELİŞTİRİCİ İZİ: PDB yolu açıkça görünüyor!
C:\Users\Bruno\Desktop\file.exe
-- Kullanıcı adı: "Bruno" (Portekizce/İtalyanca isim — muhtemelen Brezilyalı)
-- Dosya: "file.exe" = sıradan isim, geçici derleme
-- Desktop'ta derleme = hızlı geliştirme ortamı (test makinası)
-- NtQueryInformationToken = token privilege kontrol

SMTP Spam Botnet: mx connect error

SPAM BOTNET: Tofsee e-posta spam operasyonu!
mx connect error
-- MX = Mail Exchange kaydı (DNS MX record)
-- Tofsee: direkt MX sunucularına bağlanarak spam gönderir
-- Kurban ISP'den geçmeden → spam filtreleri daha zor yakalar
-- "mx connect error" = bağlantı hatası logu (hedef MX sunucusu kapalı)
Error sending command (sent = %d/%d)
-- SMTP EHLO/MAIL FROM/RCPT TO komutları gönderirken hata
-- "sent = %d/%d" = X komut gönderildi / Y toplam komut
-- Toplu e-posta gönderimi izleme ve loglama

IOC

SHA256ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
GeliştiriciBruno (C:\Users\Bruno\Desktop\file.exe)
YöntemDirekt MX sunucu SMTP spam botu

Tofsee — Malware Profili

Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.

Malware Tipi
Botnet
Programlama Dili
C++
C2 Protokolü
TCP
Hedef Sistemler
Kuresel Email

Yetenekler ve Davranış

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC Listesi (1 gösterge)

IOC — Tofsee
# SHA256 ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TürDeğerNot
sha256 ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 len=63
Etiketler
tofseebruno-pdb-developermx-connect-error-smtperror-sending-command-logspam-botnetntqueryinformationtokengettickcountcomp