Manuel Statik Analiz — SocGholish JavaScript Stager | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 8f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2 |
|---|---|
| Boyut | 262 byte — İnsan gözüyle okunabilir JS stager! |
| String Sayisi | 1 (tek URL) |
Ele Geçirilmiş Web Sitesi — Seattle Mystery Lovers Kitabevi
Teknik: SocGholish meşru ve güvenilir web sitelerine enjekte ediliyor — kullanıcılar güvendikleri web sitelerini ziyaret ederek enfekte oluyor!
https://editions.seattlemysterylovers.com/I8l9JljrHk9H60cUFvxRBFHrRwRLqxNHRq4MU025Dkl -- seattlemysterylovers.com = gerçek Seattle Mystery Lovers kitabevi -- /editions/ alt dizininde zararlı JS enjekte edilmiş -- Rastgele görünen URL yolu = gizlenmiş payload endpoint -- 262 byte = minimal izlenimi bırakacak kadar küçük
SocGholish (FakeUpdates) Hakkında
SocGholish, TA569 tehdit aktörünün yönettiği drive-by download kampanyasıdır. Meşru web sitelerine zararlı JS enjekte eder ve kullanıcıya sahte "tarayıcı/yazılım güncellemesi" göstererek payload indirtir. WastedLocker ransomware ve BLISTER loader dağıtımında kullanılmıştır.
IOC
| SHA256 | 8f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2 |
|---|---|
| C2 | editions.seattlemysterylovers.com (ele geçirilmiş) |
| Aktör | TA569 / FakeUpdates |
SocGholish — Malware Profile
SocGholish FakeUpdates 2017. seattlemysterylovers.com ele gecirilmis kitabevi. 262 byte stager. CMS inject.
Malware Type
Loader
Programming Language
JavaScript
C2 Protocol
HTTPS
Target Systems
Kuresel Web Tarayıcı
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — SocGholish
# DOMAIN
seattlemysterylovers.com
| Type | Value | Note |
|---|---|---|
| domain | seattlemysterylovers.com |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| seattlemysterylovers.com | domain | 443 | HTTPS | active | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.