Manuel Statik Analiz — GuLoader | Tehdit: YUKSEK

Dosya Kimliği

SHA25672e855025d02c02f815041b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adırecibo4747.exe (Portekizce "makbuz/fiş")
Boyut815.041 byte (815KB)
String Sayisi3.257

LATAM Hedefleme: Portekizce Makbuz Tuzağı

Bölgesel Hedefleme: Latin Amerika kurbanları!
recibo4747.exe
-- "recibo" = Portekizce/İspanyolca "makbuz" veya "fiş"
-- Brezilya, Meksika, Kolombiya, Arjantin gibi LATAM ülkeleri hedef
-- "4747" = sıralı numara veya referans kodu
-- Kurban: Portekizce/İspanyolca konuşan muhasebe personeli
-- GetTickCount = sandbox timing kontrolü

Beş C2 Substring Referansı

lC2BCx
c2QuBUR
v3gx(C2?z
"s\tC2
c2y7:
-- GuLoader 5 farklı c2 referansı içeriyor
-- lC2BCx: 'l' + C2 + 'BCx' = L letter prefix
-- c2QuBUR: c2 + 'QuBUR' = uppercase QU pattern
-- Tüm referanslar farklı struct/field offset'lerinden

Registry Manipülasyonu

RegEnumKeyW
RegCloseKey
RegDeleteKeyW    -- Registry key SİLME!
RegOpenKeyExW
-- GuLoader Registry key'leri temizliyor: antivirüs/sandbox telemetri önleme
-- RegDeleteKey: persistence temizliği veya sandbox artifact silme

IOC

SHA25672e855025d02c02f815041b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Lurerecibo4747.exe (LATAM makbuz tuzağı)

GuLoader3 — Malware Profile

GuLoader CloudEye shellcode loader. recibo4747 LATAM lure. 5 c2 substring. RegDeleteKey. Google Drive/OneDrive payload hosting.

Malware Type
Loader
Programming Language
C
C2 Protocol
HTTP/HTTPS
Target Systems
LATAM/Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — GuLoader3
# SHA256 72e855025d02c02f815041b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 72e855025d02c02f815041b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
guloaderrecibo4747-exeportuguese-receipt-lurelatam-brazil-targetinglc2bcx-substringc2qubur-substringfive-c2-substringsregdeletekeyregistry-manipulation