Manuel Statik Analiz — Bandook | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 0d077ce11ffb799e2033614b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Confirmar Transferencia lista.rar (İspanyolca banka transferi listesi!) |
| Boyut | 2.033.614 byte (1.9MB) |
| String Sayisi | 9.485 |
İspanyolca BEC Lürü: Banka Transferi
BEC HEDEFİ: İspanyolca finans sektörü!
Confirmar Transferencia lista.rar -- "Confirmar" = onaylamak (İspanyolca) -- "Transferencia" = transfer, havale -- "lista" = liste -- Tam anlam: "Transfer Listesini Onayla" -- Hedef: Latin Amerika ve İspanya finans/muhasebe departmanları -- RAR paketi = kurumsal VPN'lerden geçen sıkıştırılmış dosya gibi görünür
Beş C2 Substring
C2 KALIPLAR:
D!sv^C2][ -- özel karakter + C2 sequence E\C2, -- ters slash + C2 + virgül Gc2`F -- küçük harf c2 ile başlayan segment C2`S5 -- backtick + S5 kombinasyonu e?*C2 -- wildcard + C2 sonunda -- BEŞ farklı c2 substring = şifreli C2 adresi binary içine dağılmış -- Bandook tipik olarak Delphi/Pascal tabanlı → şifreli konfigürasyon
IOC
| SHA256 | 0d077ce11ffb799e2033614b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Confirmar Transferencia lista.rar (İspanyolca BEC) |
Bandook — Malware Profile
Bandook SpyrtualRAT. Confirmar Transferencia Spanish bank transfer lure. RAR delivery. Latin America banking targeting.
Malware Type
RAT
Programming Language
Delphi
C2 Protocol
TCP
Target Systems
Windows
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — Bandook
# SHA256
0d077ce11ffb799e2033614b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 0d077ce11ffb799e2033614b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |