Manuel Statik Analiz — HoudiniRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA256952e92df20c27b35230104b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıIDC202001281QA REF DCF TRANSFER.js (BEC: iş transferi belgesi!)
Boyut230.104 byte (230KB)
String Sayisi1 (ağır obfuscation!)

BEC Lürü: DCF Transfer Belgesi

BEC HEDEFİ: İş E-posta Dolandırıcılığı (Business Email Compromise)!
IDC202001281QA REF DCF TRANSFER.js
-- IDC = Şirket kodu/müşteri referansı
-- "202001281QA" = tarih formatı benzeri numara (güvenilirlik için)
-- "REF DCF" = DCF = Discounted Cash Flow (indirimli nakit akışı)
-- "TRANSFER" = para transferi işlemi gibi görünüyor
-- Hedef: Muhasebe departmanları, finans yöneticileri
-- Yöntem: "Transfer belgesi" olarak sunulan JS zararlısı

_0x21af Obfuscation Array

JS OBFUSCATİON: _0x hex-naming gizleme tekniği!
var _0x21af = ['ScriptFullName','give-me-ffpv','Type','bin.base64','rundll','country', ...]
-- "_0x21af" = hex isimli obfuscated array (Obfuscator.io tarzı)
-- Tüm string sabitleri array'e taşınmış: _0x21af[0], _0x21af[1]...
-- Reverse engineering'i zorlaştırır — string'e bakıp anlayamazsın
-- Sadece 1 readable string bulundu: ağır obfuscation kanıtı

Tespit Edilen String'ler

'ScriptFullName'  -- WScript.ScriptFullName: JS kendini okur (polimorfizm)
'give-me-ffpv'    -- Benzersiz C2 komutu/token! "ffpv" = muhtemelen kısaltma
'Type'            -- ADODB.Stream.Type = binary/text mod
'bin.base64'      -- ADODB.Stream format: base64 encoded binary
'rundll'          -- rundll32.exe ile DLL çalıştırma
'country'         -- Ülke bazlı hedefleme/filtreleme

Loader Zinciri

1. IDC DCF TRANSFER.js açılır (WScript ile)
2. WScript.ScriptFullName → kendi yolunu öğrenir
3. ADODB.Stream ile base64 binary decode
4. bin.base64 = base64-encoded EXE/DLL payload
5. rundll32.exe → DLL payload'ı bellekte çalıştırır
6. C2: 'give-me-ffpv' komutu gönderir
7. 'country' → coğrafi filtreleme (sadece hedef ülkede aktif)

IOC

SHA256952e92df20c27b35230104b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureIDC202001281QA REF DCF TRANSFER.js (BEC finans)
Benzersiz Stringgive-me-ffpv (C2 komutu)

HoudiniRAT — Malware Profile

HoudiniRAT H-Worm VBScript/JS tabanli RAT. 2014 yilindan beri aktif. BEC lürleriyle dağıtıyor. _0x hex obfuscation. give-me-ffpv C2 komutu. ADODB.Stream bin.base64 loader.

Malware Type
Backdoor
Programming Language
VBScript/JavaScript
C2 Protocol
HTTP
Target Systems
Küresel/Orta Doğu

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — HoudiniRAT
# DOMAIN obfuscator.io
TypeValueNote
domain obfuscator.io
Tags
houdiniratbec-luredcf-transfer-js0x21af-obfuscationgive-me-ffpv-commandbin-base64-loaderrundll32wscript-scriptfullnamejavascript-obfuscation