Manuel Statik Analiz — XWorm VBS Dropper | Tehdit: YUKSEK

Dosya Kimliği

SHA25646d8d1dd3b83b117e3a7c2d9f5b1e4a8c0f3d6b9e2a5c8f1d4b7e0c3f6a9d2b5
Dosya AdıFORMULARIO BANCARIO.vbs
TipObfüskülenmiş VBScript Dropper
Boyut2.589.167 byte (2.5MB)
String Sayisi26.635

İspanyolca Banka Formu Tuzağı

Lure: "FORMULARIO BANCARIO" = İspanyolca "Bankacılık Formu" — Latin Amerika veya İspanya kurumsal bankacılık hedefi.

IOC

SHA25646d8d1dd3b83b117e3a7c2d9f5b1e4a8c0f3d6b9e2a5c8f1d4b7e0c3f6a9d2b5
LureFORMULARIO BANCARIO (İspanyolca banka formu)

XWorm2 — Malware Profili

XWorm .NET 2022 TurkoRat forum. SHN2026 VBS delivery. neuroprostheses.Ru C2. Keylogger+clipboard+RAT. AveStealer base.

Malware Tipi
RAT
Programlama Dili
VBScript/.NET
C2 Protokolü
TCP
Hedef Sistemler
LATAM/Ispanya

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — XWorm2
# SHA256 46d8d1dd3b83b117e3a7c2d9f5b1e4a8c0f3d6b9e2a5c8f1d4b7e0c3f6a9d2b5
TürDeğerNot
sha256 46d8d1dd3b83b117e3a7c2d9f5b1e4a8c0f3d6b9e2a5c8f1d4b7e0c3f6a9d2b5

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
neuroprostheses.ru domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
xwormvbs-dropperformulario-bancariospanish-lurebanking-formobfuscated-vbs