Manuel Statik Analiz — ZLoader (Banking Trojan) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | HexaPort.dll (→ payload PE) |
| Boyut | 526.848 byte (526KB) |
| String Sayisi | 2.263 |
HexaPort: Özel DLL İsmi
HexaPort.dll -- "Hexa" = altı (hex) → hexadecimal? port 6? -- "Port" = ağ portu veya DLL export port noktaları -- Özel isim DLL: Windows sistem DLL'i gibi görünmek amaçlı değil -- ZLoader bu DLL'i süreç inject yoluyla çalıştırıyor
{INJECTDATA} Web Inject Şablonu
Banking Web Inject: ZLoader'ın imza tekniği!
{INJECTDATA}
-- ZLoader'ın web inject konfigürasyon şablonu!
-- Çalışma zamanında {INJECTDATA} içeriği doldurulur:
→ Hedef banka siteleri (URL listesi)
→ Enjekte edilecek HTML/JS kodu
→ Sahte giriş formu / OTP interception kodu
-- Browser hook: site yüklendiğinde şablondaki HTML enjekte edilir
-- Kullanıcı gerçek bankayı ziyaret ediyor ama sahte alan görüyor
-- ZLoader hedef bankaları: 2022 Microsoft/CISA ortak operasyon sonucu C2 altyapısı yıkıldı (faaliyetler 2024'te yeniden başladı)
IOC
| SHA256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Inject Template | {INJECTDATA} (web inject şablonu) |
| DLL | HexaPort.dll |
Zloader3 — Malware Profili
ZLoader banking trojan. HexaPort.dll {INJECTDATA} web inject. Browser hook banka sitesi modify. Microsoft CISA 2022 disruption.
Malware Tipi
Botnet
Programlama Dili
C++
C2 Protokolü
HTTPS
Hedef Sistemler
Bankacılık
Yetenekler ve Davranış
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC Listesi (1 gösterge)
IOC — Zloader3
# SHA256
a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Tür | Değer | Not |
|---|---|---|
| sha256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |