Manuel Statik Analiz — Tofsee Spam Botnet | Tehdit: YUKSEK

Dosya Kimliği

SHA256ec21a7eb3f763990280dfa0be8634cxx3b5a52933cd2dcf90038755aa2e1b4f
Boyut78.336 byte (küçük spam gönderici)
String Sayisi546

Spam Hedefleri

mail.ru   -- Rus e-posta platformu (hedef/spam relay)
yahoo.com -- Yahoo Mail (spam dağıtım hedefi)

Geliştirici İpucu — Bruno

PDB: Geliştirici "Bruno" adlı kişi dosyayı doğrudan masaüstünde derlemiş!
C:\Users\Bruno\Desktop\file.exe
-- Geliştirici: "Bruno" (muhtemelen Portekizce konuşan)
-- Masaüstünde "file.exe" adıyla derleme (acemi işareti?)

Anti-Debug

NtQueryInformationToken  -- Token erişim kontrolü (sandbox tespit)
GetTickCount             -- Timing anti-debug

Tofsee Hakkında

Tofsee (Gheg/Cutwail), 2013'ten beri aktif spam botnetidir. Kripto para dolandırıcılığı, phishing ve malware dağıtımı için toplu e-posta göndermede kullanılır. Çift katmanlı şifreleme ve P2P ağ mimarisi kullanır. Bitcoin mining modülü de barındırır.

IOC

SHA256ec21a7eb3f763990280dfa0be8634cxx3b5a52933cd2dcf90038755aa2e1b4f
PDBC:\\Users\\Bruno\\Desktop\\file.exe
Spam Hedefmail.ru, yahoo.com

Tofsee — Malware Profile

Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.

Malware Type
Botnet
Programming Language
C++
C2 Protocol
TCP
Target Systems
Kuresel Email

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (2 indicators)

IOC — Tofsee
# DOMAIN mail.ru # DOMAIN yahoo.com
TypeValueNote
domain mail.ru
domain yahoo.com
Tags
tofseespam-botnetmailruyahooemail-spampdb-hintbrunontquery