Manuel Statik Analiz (LLM Okumali) — DBatLoader (ModiLoader) | Tehdit: YUKSEK

Dosya Kimligi

SHA25693dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32
Arsiv AdiROUVALISXWINESXINQUIRYXSHEET.pdf.lzh
FormatLZH arsivi — .pdf.lzh cift uzantisi ile kamufle
Boyut491.887 byte

Sosyal Muhendislik Vektoru

B2B Sosyal Muhendislik: "ROUVALLIS WINES INQUIRY SHEET" — sahte bir seker/sahap sirketi sorgu belgesi. Uluslararasi ticaret sektoru hedefli spear-phishing.
  • Cift uzanti: .pdf.lzh — kullanici .pdf gorur, gercekte arsiv
  • B2B sektor yemi: ticari sorgu belgesi, siparis listesi, fatura

DBatLoader (ModiLoader) Hakkinda

DBatLoader (ModiLoader), Delphi ve VB6 ile yazilmis bir downloader/loader ailesidir. Sahte ticaret belgeleri (LZH, ISO, PDF) ile dagitilir. AgentTesla, Remcos, NjRAT gibi ikinci asama RAT/stealerlar icin kullanilir. 2021'den bu yana aktif olan Turk ve Orta Avrupa hedefli kampanyalarla ozellikle bilinmektedir.

IOC

SHA25693dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32
YemROUVALISXWINESXINQUIRYXSHEET.pdf.lzh
HedefB2B / Ticaret Sektoru

DBatLoader — Malware Profile

DBatLoader/ModiLoader. PaymentXAdvice ZIP lure. Brazilian Portuguese targeting. pt-BR locale.

Malware Type
Loader
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Windows
Also Known As (AKA)
ModiLoader

Technical Details

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — DBatLoader
# SHA256 93dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32
TypeValueNote
sha256 93dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32

C2 Servers (3 recorded servers for this family)

Address Type Port Protocol Status Country
176.32.34.88 ip 80 HTTP active UA
194.33.45.78 ip 443 HTTPS inactive CZ
85.195.206.19 ip 80 HTTP inactive AT

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
dbatloadermodiloaderpdf-lzhticari-sozlesmeksosyal-muhendislikarsiv