Manuel Statik Analiz — AgentTesla JS Yükleyici | Tehdit: YUKSEK

Dosya Kimliği

SHA2569d132e36a9bf53851822562b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adıoutput_g7ss7xmq.js (obfuscated JS çıktı dosyası)
Boyut1.822.562 byte (1.7MB)
String Sayisi1.870

JavaScript Sayısal Değişken Obfuscation

OBFUSCATION: Tüm değişkenler sayısal isimli!
this.v6034 = { v3933: false, v967: true, v9932: 6, v689: 30 }
-- v6034, v3933, v967, v9932, v689 = anlamlı isim yerine sayı
-- Kod okumayı imkansızlaştırır: "v6034 nedir?" bilinemez
-- Tüm sınıf alanları, metodlar, parametreler: vXXXX formatı
-- Aynı teknik: Warmcookie (farklı: orada anlamlı İngilizce kelimeler)

@version 8.16.22

@version 8.16.22
-- JSDoc comment'e gömülü versiyon: 8 Kasım 16, 2022?
-- Veya semantik versiyon: major.minor.patch = 8.16.22
-- Sürüm takibi = aktif geliştirme süreci

Response Payload Lock

v7566: function (v5725) { // lock and resolve response payload
-- "lock and resolve" = async payload kilit-çözüm mekanizması
-- "response payload" = C2'den gelen yanıt paketi
-- Asenkron C2 iletişimi: kilitle + bekle + çöz
-- Promise-based JavaScript C2 mimarisi

IOC

SHA2569d132e36a9bf53851822562b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Loaderoutput_g7ss7xmq.js (JS dropper)
Versiyon@version 8.16.22

AgentTesla — Malware Profile

AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.

Malware Type
Infostealer
Programming Language
.NET
C2 Protocol
SMTP/FTP
Target Systems
Windows
Also Known As (AKA)
Agent Tesla

Technical Details

C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot

Attribution / Threat Actor

Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — AgentTesla
# SHA256 9d132e36a9bf53851822562b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 9d132e36a9bf53851822562b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

C2 Servers (8 recorded servers for this family)

Address Type Port Protocol Status Country
digicert.com domain — TCP active —
stem.ru domain — TCP active —
digicert.com domain — TCP active —
system.io domain — TCP active —
dublincore.org domain — TCP active —
system.io domain — TCP active —
system.io domain — TCP active —
googleapis.com domain — TCP active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
agentteslaoutput-g7ss7xmq-js-loaderv6034-numeric-obfuscationversion-8-16-22js-dropperlock-resolve-payloadnumeric-variable-names