Manuel Statik Analiz — AsyncRAT JavaScript Dropper | Tehdit: YUKSEK

Dosya Kimliği

SHA256e831c62f2cd0906e1894860b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıRFQ-VIS_DGS_PR_202606015.js
Boyut1.894.860 byte (1.9MB JS)
String Sayisi33.340

Tarih Kodlu Tedarik Lure

RFQ-VIS_DGS_PR_202606015.js
-- RFQ = Request For Quotation (resmi tedarik talebi)
-- VIS_DGS = hedef kurum/sistem kodu (taklit edilen firma?)
-- PR_202606015 = PR (Purchase Request) + 2026-06 (Haziran 2026) + 015 (sıra no)
-- Gerçek kurumsal tedarik süreçlerini taklit ediyor
-- Finansman, satın alma ve muhasebe personeli hedef
-- Haziran 2026 tarihi = saldırı güncel, aktif kampanya!

dryst Özel JavaScript Obfuskasyon

Analiz Tekniği Tespiti: "dryst" kelimesi her karakter arasına eklenerek string encoding yapılıyor!
-- Örnek: "ABC" → "Adryst BdrystCdryst" (her char arası "dryst")
-- decode: her "dryst" kaldırıldığında gerçek string ortaya çıkar
-- 1.9MB JS dosyasında 33,340 string! (max obfuskasyon)
-- Geleneksel AV regex'leri "dryst" encode ile atlatılıyor
-- Her değişken ismi anlamlı İngilizce kelime (arises, rebakes, ...)
   → AV eğitim setleri benign kelimelerle yanıltılıyor

IOC

SHA256e831c62f2cd0906e1894860b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureRFQ-VIS_DGS_PR_202606015.js (Haziran 2026 tedarik kodu)
Teknikdryst custom char-separator obfuskasyon

AsyncRAT3 — Malware Profile

AsyncRAT .NET 2019 acik kaynak C# RAT. RFQ-VIS_DGS_PR_202606015.js Haziran 2026 tedarik JS dropper. dryst custom char-separator obfuskasyon.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Küresel Kurumsal

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — AsyncRAT3
# SHA256 e831c62f2cd0906e1894860b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 e831c62f2cd0906e1894860b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
asyncratrfq-vis-dgs-pr-202606015-jsjune-2026-dated-luredryst-custom-obfuscationjs-string-encodingprocurement-lure