Manuel Statik Analiz — Tofsee Spambot | Tehdit: ORTA

Dosya Kimliği

SHA256ec21a7eb3f763990780336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut78.336 byte (78KB — kompakt spambot)
String Sayisi546 (düşük — obfuskasyon)

SMTP Spam Hedefi: mail.ru

mail.ru
-- Rus email hizmeti mail.ru SMTP kullanılıyor
-- Tofsee kurban mail.ru hesaplarından spam gönderiyor
-- mail.ru = 100M+ Rusya/BDT kullanıcısı
-- Çalınan hesap kimlik bilgileri ile gönderim
-- SMTP gateway olarak meşru servis kötüye kullanılıyor

NtQueryInformationToken: Token Bilgi Sorgulama

NtQueryInformationToken
-- NT API seviyesinde token sorgusu (IsDebuggerPresent yerine!)
-- TokenIntegrityLevel: süreç bütünlük düzeyi kontrolü
-- TokenElevationType: yönetici/standart kullanıcı tespiti
-- Sandbox'lar düşük bütünlük token'ı döndürür → tespit!
-- GetTickCount + NtQueryInformationToken = çift anti-analiz

Geliştirici Parmak İzi: Bruno

C:\Users\Bruno\Desktop\file.exe
-- Developer "Bruno" (İspanyol/Portekiz/İtalyan ismi)
-- \Desktop\file.exe = basit test dosya adı
-- Geliştirici masaüstünden sızmış olabilir

Tofsee Hakkında

Tofsee (Gheg) 2013'ten beri aktif Rusça spam botnet'tir. Gmail, Yahoo, Mail.ru, Yandex SMTP kullanarak spam gönderir. Kripto madenciliği, DDoS, proxy ve credential hırsızlığı modülleri vardır. P2P mimarisi ile trafik şifreleme yeteneğine sahip.

IOC

SHA256ec21a7eb3f763990780336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
SMTP Hedefmail.ru
PDBC:\Users\Bruno\Desktop\file.exe
Anti-DebugNtQueryInformationToken + GetTickCount

Tofsee — Malware Profile

Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.

Malware Type
Botnet
Programming Language
C++
C2 Protocol
TCP
Target Systems
Kuresel Email

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (1 indicators)

IOC — Tofsee
# DOMAIN mail.ru
TypeValueNote
domain mail.ru
Tags
tofseemail-ru-smtp-targetspam-botnetntqueryinformationtokenbruno-developer-pdbtoken-information-query