Statik Analiz — OrderInquiryJSDropper | Tehdit: ORTA

Dosya Kimligi

SHA256c3fde2b6073956d263c5120f6ba761e936c776c372c7601d667671416eafa6e3
Boyut1,377,851 byte (JavaScript, satir uzunlugu 65536)
IsimOrderInquiry070126.js (1 Temmuz 2026 tarihi)

String Tablosu Obfuskasyonu: q(0x2f7) Pattern

JS CONFUSER: Butun stringler gizli indeks tablosundan cekilmektedir!
function q(a,B){\n  a=a-(0x2*-0x1dc+-0x6ff*0x5+0x26b3*0x1);\n  var A=Z();  // buyuk string dizisi\n  var o=A[a];\n  return o;\n}\n\n-- q(0x2f7), q(0x233), q(0x369) vs: indeks ile string tablosundan al\n-- Z() fonksiyonu: tum obfuske stringleri icerir\n-- Degisken ismi karistirma: om, oR, oQ, ox, oO, ot, oC...\n-- Aritmetik ofset: a=a-(hesaplama) ile tabloyu karistir\n-- Sonuc: standart string arama araclari calismiyor

OrderInquiry070126.js: Lur Analizi

OrderInquiry070126.js\n\n-- "OrderInquiry" = siparis sorgusu luru\n-- "070126" = 07/01/26 = 1 Temmuz 2026 tarihi\n  Aktif kampanya tarihi: 2026 yili icin optimize edilmis\n-- Hedef: tedarik zinciri, satin alma, finans bolumleri\n-- E-posta eki olarak gonderilen JS dosyasi\n  (WScript.Shell / Windows Script Host ile calisir)\n-- 1.3MB boyut: icinde gizli ikinci asama payload\n-- Satir uzunlugu 65536: tek satir kodla tum mantik

IOC

SHA256c3fde2b6073956d263c5120f6ba761e936c776c372c7601d667671416eafa6e3
Lur AdiOrderInquiry070126.js (1 Temmuz 2026)
TeknikString tablo obfuske, q() index lookup

OrderInquiryJSDropper — Malware Profile

1.3MB heavily obfuscated JavaScript dropper. String lookup table via q(0x2f7) function (JS-Confuser pattern). OrderInquiry070126.js order lure (July 1, 2026). 65536 character line length. Hidden second-stage payload.

Malware Type
Other
Programming Language
JavaScript
C2 Protocol
HTTP/WScript
Target Systems
Küresel

Capabilities & Behavior

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC List (1 indicators)

IOC — OrderInquiryJSDropper
# SHA256 c3fde2b6073956d263c5120f6ba761e936c776c372c7601d667671416eafa6e3
TypeValueNote
sha256 c3fde2b6073956d263c5120f6ba761e936c776c372c7601d667671416eafa6e3
Tags
orderinquiryjsdropperorder-inquiry-js-dropperorderinquiry070126-js-lure-order-inquiryheavy-javascript-obfuscation-string-lookup-tableq-0x2f7-function-index-obfuscation-js-confuser65536-line-length-heavily-obfuscated1-3mb-large-js-payload-carrierwscript-jscript-windows-script-host-dropper