Manuel Statik Analiz — AgentTesla | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | ad7b9eaa692cbfe61735168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | .xls (Excel makro belgesi) |
| Boyut | 1.735.168 byte (1.7MB XLS) |
| String Sayisi | 8.078 |
SMTP Exfil Relay: ispgateway.de
Aktif Exfil Sunucusu: mx06.ispgateway.de (80.67.18.37)!
Received: from mx06.ispgateway.de (80.67.18.37) by
by mx06.ispgateway.de with esmtps
-- AgentTesla çalınan verileri email ile saldırgana gönderiyor!
-- mx06.ispgateway.de = Almanya merkezli ISP SMTP relay
-- 80.67.18.37 = ispgateway.de sunucu IP'si
-- "Received: from" header'ı = kurban makinesinde oluşturulan email başlığı!
-- Bu string binary içinde hardcoded değil — AgentTesla'nın gönderdiği
email'in Received header'ından kopyalandı → aktif kampanya kanıtı!
Excel XLS Makro Saldırısı
.xls (Excel 97-2003 eski format) -- Eski XLS formatı: VBA makro desteği daha geniş -- Office Protected View'ı daha kolay atlıyor -- "Makroları etkinleştir" kandırma sosyal mühendislik -- 1.7MB büyük XLS: gömülü payload/şifreli binary içeriyor
AgentTesla Hakkında
AgentTesla 2014'te Türkiye merkezli yasal "izleme yazılımı" olarak başladı, hızla MaaS formatına döndü. Keylogger, ekran görüntüsü, tarayıcı/email/FTP kimlik bilgisi çalar. SMTP, FTP, Telegram, HTTP C2 üzerinden veri gönderir. Yüzlerce farklı email konusu ile dağıtılır: fatura, sipariş, gümrük bildirimi.
IOC
| SHA256 | ad7b9eaa692cbfe61735168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | .xls Excel makro belgesi |
| SMTP Relay | mx06.ispgateway.de (80.67.18.37) |
AgentTesla7 — Malware Profile
AgentTesla 2014 Turkiye MaaS. XLS makro dropper. mx06.ispgateway.de SMTP exfil. Keylogger+ekran+tarayici+FTP.
Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
SMTP/FTP/Telegram
Target Systems
Küresel Kurumsal
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — AgentTesla7
# IP
80.67.18.37
| Type | Value | Note |
|---|---|---|
| ip | 80.67.18.37 |