Manuel Statik Analiz — AgentTesla JS Yükleyici | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 9d132e36a9bf53851822562b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | output_g7ss7xmq.js (obfuscated JS çıktı dosyası) |
| Boyut | 1.822.562 byte (1.7MB) |
| String Sayisi | 1.870 |
JavaScript Sayısal Değişken Obfuscation
OBFUSCATION: Tüm değişkenler sayısal isimli!
this.v6034 = { v3933: false, v967: true, v9932: 6, v689: 30 }
-- v6034, v3933, v967, v9932, v689 = anlamlı isim yerine sayı
-- Kod okumayı imkansızlaştırır: "v6034 nedir?" bilinemez
-- Tüm sınıf alanları, metodlar, parametreler: vXXXX formatı
-- Aynı teknik: Warmcookie (farklı: orada anlamlı İngilizce kelimeler)
@version 8.16.22
@version 8.16.22 -- JSDoc comment'e gömülü versiyon: 8 Kasım 16, 2022? -- Veya semantik versiyon: major.minor.patch = 8.16.22 -- Sürüm takibi = aktif geliştirme süreci
Response Payload Lock
v7566: function (v5725) { // lock and resolve response payload
-- "lock and resolve" = async payload kilit-çözüm mekanizması
-- "response payload" = C2'den gelen yanıt paketi
-- Asenkron C2 iletişimi: kilitle + bekle + çöz
-- Promise-based JavaScript C2 mimarisi
IOC
| SHA256 | 9d132e36a9bf53851822562b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Loader | output_g7ss7xmq.js (JS dropper) |
| Versiyon | @version 8.16.22 |
AgentTesla — Malware Profile
AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.
Malware Type
Infostealer
Programming Language
.NET
C2 Protocol
SMTP/FTP
Target Systems
Windows
Also Known As (AKA)
Agent Tesla
Technical Details
C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot
Attribution / Threat Actor
Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — AgentTesla
# SHA256
9d132e36a9bf53851822562b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 9d132e36a9bf53851822562b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2 Servers (8 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| digicert.com | domain | — | TCP | active | — |
| stem.ru | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
| dublincore.org | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
| googleapis.com | domain | — | TCP | active | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.