Manuel Statik Analiz — Tofsee | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Boyut | 78.336 byte (76KB — küçük spam botu) |
| String Sayisi | 546 |
Geliştirici: Bruno (Desktop/file.exe)
GELİŞTİRİCİ İZİ: PDB yolu açıkça görünüyor!
C:\Users\Bruno\Desktop\file.exe -- Kullanıcı adı: "Bruno" (Portekizce/İtalyanca isim — muhtemelen Brezilyalı) -- Dosya: "file.exe" = sıradan isim, geçici derleme -- Desktop'ta derleme = hızlı geliştirme ortamı (test makinası) -- NtQueryInformationToken = token privilege kontrol
SMTP Spam Botnet: mx connect error
SPAM BOTNET: Tofsee e-posta spam operasyonu!
mx connect error -- MX = Mail Exchange kaydı (DNS MX record) -- Tofsee: direkt MX sunucularına bağlanarak spam gönderir -- Kurban ISP'den geçmeden → spam filtreleri daha zor yakalar -- "mx connect error" = bağlantı hatası logu (hedef MX sunucusu kapalı) Error sending command (sent = %d/%d) -- SMTP EHLO/MAIL FROM/RCPT TO komutları gönderirken hata -- "sent = %d/%d" = X komut gönderildi / Y toplam komut -- Toplu e-posta gönderimi izleme ve loglama
IOC
| SHA256 | ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Geliştirici | Bruno (C:\Users\Bruno\Desktop\file.exe) |
| Yöntem | Direkt MX sunucu SMTP spam botu |
Tofsee — Malware Profili
Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.
Malware Tipi
Botnet
Programlama Dili
C++
C2 Protokolü
TCP
Hedef Sistemler
Kuresel Email
Yetenekler ve Davranış
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC Listesi (1 gösterge)
IOC — Tofsee
# SHA256
ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Tür | Değer | Not |
|---|---|---|
| sha256 | ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 | len=63 |