Manuel Statik Analiz — AsyncRAT (JavaScript Loader) | Tehdit: YUKSEK

Dosya Kimliği

SHA25640f84ae721a13a38312699b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıSGH09876545678XW.js ("SGH" + rastgele rakam + "XW" takısı)
Boyut312.699 byte
String Sayisi1 (TEK string!)

Tek String Obfuskasyon

Aşırı Obfuskasyon: 312KB JS dosyasının tamamı tek büyük obfuscated satır!
var J4=E;var J5=E;function o(h,v){var J0=E;var J1=E;var J2=E;var J3=E;var b={'xjxAa':...
-- Her değişken tek harf (J0-J5, h, v, b) = obfuscator çıktısı
-- b={'xjxAa': ...} = lookup tablosu (string tabanlı obfukas)
-- "E" büyük E = başka bir fonksiyon/değer referansı
-- Gerçek C2 ve payload base64/eval() zincirinin derininde gizli
-- Aynı imza LodaRAT örneklerinde de görüldü (paylaşımlı obfuskasyon altyapısı!)

IOC

SHA25640f84ae721a13a38312699b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Özellik1 string (312KB = maksimum obfuskasyon)

AsyncRAT2 — Malware Profile

AsyncRAT .NET open source 2019 GitHub. SGH09876 JS loader. var J4=E tek string obfukas. C2 sifreli.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/SSL
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — AsyncRAT2
# SHA256 40f84ae721a13a38312699b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 40f84ae721a13a38312699b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62
Tags
asyncratsgh09876-jssingle-stringvar-j4-e-obfuscationheavy-obfuscationjs-loaderone-string