Manuel Statik Analiz — STRRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA2569d907d9016f2fb80849496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıRequest For Quotation(RFQ).js (İş teklif tuzağı!)
Boyut849.496 byte (849KB JavaScript)
String Sayisi41 (yoğun XOR obfuskasyon)

İş Tuzağı: Request For Quotation (RFQ)

BEC Tuzağı: Tedarikçi teklif talebi!
Request For Quotation(RFQ).js
-- RFQ = "Request For Quotation" = Teklif Talebi
-- İş süreçlerinde standart: tedarikçilere fiyat teklifi isteme belgesi
-- Kurban açar → WScript ile JavaScript çalışır → STRRAT indirilir
-- BEC (Business Email Compromise) vektörü
-- Sadece 41 string: geri kalan veri XOR şifreli

XOR Hex Byte Array: Şifreli Payload

Şifreleme Tekniği:
var raw = ["7E", "84", "F9", "3F", "C3", "E0", "1F", "09", "D4", "C8", "BC", "88", "4...
-- "raw" dizisi: XOR şifreli payload hex byte değerleri
-- Her hex string bir byte → XOR key ile decode → STRRAT JAR/CAB payload
-- STRRAT indirme mekanizması tamamen bu array içinde gizli
-- 849KB JS = çoğu bu hex array
-- Avantaj: imza tabanlı AV bypass (raw hex string, EXE değil)

getString Şifre Çözücü

String.prototype.getString = function(key){
  for(var i=0; i<key.toString().length; i...
-- Native String.prototype'ı extend ediyor!
-- Her string için key parametresi ile XOR decode
-- JavaScript native metodunu modify etmek = AV tespitini zorlaştırıyor
-- key parametresi: STRRAT config için ayrı string

IOC

SHA2569d907d9016f2fb80849496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureRequest For Quotation(RFQ).js (BEC/iş tuzağı)
ŞifrelemeXOR hex byte array + String.prototype.getString

STRRAT2 — Malware Profile

STRRAT Java-based RAT. RFQ.js JS dropper XOR hex array getString decryptor. BEC kampanya. Credential theft keylogger.

Malware Type
RAT
Programming Language
JavaScript/Java
C2 Protocol
TCP/HTTP
Target Systems
Küresel/BEC

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — STRRAT2
# SHA256 9d907d9016f2fb80849496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 9d907d9016f2fb80849496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
strratrfq-js-dropperrequest-for-quotation-lurexor-hex-byte-arraygetstring-decryptorjs-obfuscationbusiness-email-compromise