Manuel Statik Analiz — XWorm VBS Dropper | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 46d8d1dd3b83b117e3a7c2d9f5b1e4a8c0f3d6b9e2a5c8f1d4b7e0c3f6a9d2b5 |
|---|---|
| Dosya Adı | FORMULARIO BANCARIO.vbs |
| Tip | Obfüskülenmiş VBScript Dropper |
| Boyut | 2.589.167 byte (2.5MB) |
| String Sayisi | 26.635 |
İspanyolca Banka Formu Tuzağı
Lure: "FORMULARIO BANCARIO" = İspanyolca "Bankacılık Formu" — Latin Amerika veya İspanya kurumsal bankacılık hedefi.
IOC
| SHA256 | 46d8d1dd3b83b117e3a7c2d9f5b1e4a8c0f3d6b9e2a5c8f1d4b7e0c3f6a9d2b5 |
|---|---|
| Lure | FORMULARIO BANCARIO (İspanyolca banka formu) |
XWorm2 — Malware Profili
XWorm .NET 2022 TurkoRat forum. SHN2026 VBS delivery. neuroprostheses.Ru C2. Keylogger+clipboard+RAT. AveStealer base.
Malware Tipi
RAT
Programlama Dili
VBScript/.NET
C2 Protokolü
TCP
Hedef Sistemler
LATAM/Ispanya
Yetenekler ve Davranış
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC Listesi (1 gösterge)
IOC — XWorm2
# SHA256
46d8d1dd3b83b117e3a7c2d9f5b1e4a8c0f3d6b9e2a5c8f1d4b7e0c3f6a9d2b5
| Tür | Değer | Not |
|---|---|---|
| sha256 | 46d8d1dd3b83b117e3a7c2d9f5b1e4a8c0f3d6b9e2a5c8f1d4b7e0c3f6a9d2b5 |
C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| neuroprostheses.ru | domain | 443 | HTTPS | inactive | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.