Manuel Statik Analiz — AsyncRAT JavaScript Dropper | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | e831c62f2cd0906e1894860b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | RFQ-VIS_DGS_PR_202606015.js |
| Boyut | 1.894.860 byte (1.9MB JS) |
| String Sayisi | 33.340 |
Tarih Kodlu Tedarik Lure
RFQ-VIS_DGS_PR_202606015.js -- RFQ = Request For Quotation (resmi tedarik talebi) -- VIS_DGS = hedef kurum/sistem kodu (taklit edilen firma?) -- PR_202606015 = PR (Purchase Request) + 2026-06 (Haziran 2026) + 015 (sıra no) -- Gerçek kurumsal tedarik süreçlerini taklit ediyor -- Finansman, satın alma ve muhasebe personeli hedef -- Haziran 2026 tarihi = saldırı güncel, aktif kampanya!
dryst Özel JavaScript Obfuskasyon
Analiz Tekniği Tespiti: "dryst" kelimesi her karakter arasına eklenerek string encoding yapılıyor!
-- Örnek: "ABC" → "Adryst BdrystCdryst" (her char arası "dryst") -- decode: her "dryst" kaldırıldığında gerçek string ortaya çıkar -- 1.9MB JS dosyasında 33,340 string! (max obfuskasyon) -- Geleneksel AV regex'leri "dryst" encode ile atlatılıyor -- Her değişken ismi anlamlı İngilizce kelime (arises, rebakes, ...) → AV eğitim setleri benign kelimelerle yanıltılıyor
IOC
| SHA256 | e831c62f2cd0906e1894860b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | RFQ-VIS_DGS_PR_202606015.js (Haziran 2026 tedarik kodu) |
| Teknik | dryst custom char-separator obfuskasyon |
AsyncRAT3 — Malware Profile
AsyncRAT .NET 2019 acik kaynak C# RAT. RFQ-VIS_DGS_PR_202606015.js Haziran 2026 tedarik JS dropper. dryst custom char-separator obfuskasyon.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Küresel Kurumsal
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — AsyncRAT3
# SHA256
e831c62f2cd0906e1894860b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | e831c62f2cd0906e1894860b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |