Manuel Statik Analiz — SnakeKeylogger | Tehdit: ORTA

Dosya Kimliği

SHA256e101122360c065fa1576320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıAW PO-REG #1529_052026.js
Boyut1.576.320 byte (1.5MB)
String Sayisi1 string (1.5MB'da — mutlak maksimum obfuskasyon!)

Mayıs 2026 Tarih Kodlu Kampanya Lure

AW PO-REG #1529_052026.js
-- "AW" = hedef şirket kodu (Aviation/AutoWarehouse/AutoWorks?)
-- PO-REG = Purchase Order Registration (satın alma siparişi kaydı)
-- #1529 = belge seri numarası
-- _052026 = Mayıs 2026 tarih kodu! → aktif kampanya!
-- .js = JavaScript dropper
-- Kurumsal tedarik departmanı hedefleme (PO işleyenleri kandırma)

Mutlak Maksimum JavaScript Obfuskasyonu

1 String, 1.5MB! Modern JS obfuskasyonun zirvesi.
function _0x49b7(_0x275d56, _0x1bdd6c) { ... }
-- _0x49b7 = "0x" prefix hex-style fonksiyon adları
-- _0x275d56, _0x1bdd6c = tüm parametreler hex gizlenmiş
-- 1.5MB içinde 1 tanınabilir string = %99.9 encoding oranı!
-- Formbook3 (batch 47): 1.97MB, 1888 string (az string ≠ sıfır)
-- SnakeKeylogger2: 1.5MB, 1 string → daha yoğun!
-- 0x obfuscation: karakterler sayısal offset tablosundan alınır

IOC

SHA256e101122360c065fa1576320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureAW PO-REG #1529_052026.js (Mayıs 2026 kampanya)
String Sayısı1 / 1.576.320 byte → maksimum obfuskasyon

SnakeKeylogger2 — Malware Profile

SnakeKeylogger 2020 .NET. AW PO-REG 1529_052026.js 0x hex JS 1 string 1.5MB. Keylogger+ekran+SMTP/FTP exfil.

Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
SMTP/FTP
Target Systems
Küresel (CIS hariç)

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — SnakeKeylogger2
# SHA256 e101122360c065fa1576320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 e101122360c065fa1576320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
snakekeyloggeraw-po-reg-1529052026-may-2026-date1-string-1-5mbmaximum-obfuscation0x-hex-js-obfuscation