Derin Statik Analiz — VBS Dropper (Çift Uzantı) | Tehdit: YUKSEK

Dosya Kimliği

SHA2561aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3
Dosya AdıINVOICE-7141.JPEG.vbs (Çift uzantı: .JPEG görünümü, .vbs gerçek tür)
Boyut459 KB (VBScript)

INVOICE-7141.JPEG.vbs: Çift Uzantı Sosyal Mühendislik

INVOICE-7141.JPEG.vbs
-- Kullanıcı görür: "INVOICE-7141.JPEG" → fatura JPEG resmi sanıyor
-- Gerçek uzantı: .vbs → VBScript (tehlikeli!)
-- Windows Explorer: uzantı gizleme açıkken ".vbs" gözükmez
  - Dosya simgesi: JPEG ikonu gösterilmesi için ayarlanabilir
-- E-posta: "faturanız ekte JPEG formatında" → tıkla → WScript çalışır
-- Çift uzantı tekniği: en eski ve hâlâ en etkili sosyal mühendislik

39d30cfe5d033f4342c289362d.ru: C2 Hex Subdomain

C2 DOMAIN: Hex görünümlü subdomain + .ru TLD = yüksek güvenilirlikle C2!
39d30cfe5d033f4342c289362d.ru
-- Subdomain: "39d30cfe5d033f4342c289362d" (26 hex karakter)
-- 26 hex karakter: olası MD5 hash kısaltması (MD5 = 32 hex)
-- Kısa MD5 subdomain: her kurban/kampanya için farklı subdomain (DGA benzeri)
-- .ru TLD: Rusya kayıtlı alan adı
-- VBS dropper → bu domain → ikincil payload indiriyor
-- "39d30cfe5d..." : orijinal hex değeri → kurban/kampanya tanımlayıcısı olabilir

StrReverse + certutil Decode: Ters Komut Obfuskasyonu

-- Komut tersine çevrilmiş halde saklanıyor:
   " edoced- litutrec" → StrReverse() → "certutil -decode"
-- certutil: Windows dahili araç (beyaz liste bypass!)
  - certutil -decode: base64 veya DER formatını çözer
  - Living off the land: sistem aracını payload çözme için kullan
-- COM nesneleri obfuskasyonu:
   SCripTing.fIlESysTemoBJecT → Scripting.FileSystemObject
   WSCRIpt.sHeLL              → WScript.Shell
-- Büyük/küçük harf karıştırma: COM late-binding case-insensitive

%TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe: Drop Yolu

%TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe
-- "s" prefix + 39 hex karakter = hash tabanlı dosya adı
-- %TEMP% klasörü: kullanıcı yazma izni var, güvenli analiz alanı değil
-- Ara blob dosyası:
   %TEMP%\G97798c82ee8e889c30f8a7 → certutil decode → ikincil PE
-- Tam zincir:
   1. INVOICE-7141.JPEG.vbs çalıştır
   2. certutil ile base64 çöz → s53a4a2b43e0fe695...exe oluştur
   3. Payload çalıştır → C2'ye bağlan: 39d30cfe5d033f4342c289362d.ru

IOC

SHA2561aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3
C2 Domain39d30cfe5d033f4342c289362d.ru
Drop Path%TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe

VBSDropper — Malware Profile

VBScript dropper. INVOICE.JPEG.vbs double extension. 39d30cfe5d033f4342c289362d.ru hex subdomain C2. StrReverse certutil decode. TEMP drop path.

Malware Type
Loader
Programming Language
VBScript
C2 Protocol
HTTP
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — VBSDropper
# SHA256 1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3
TypeValueNote
sha256 1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3
Tags
vbsdroppervbs-dropperinvoice-7141-jpeg-vbs-double-extension-hiding39d30cfe5d033f4342c289362d-ru-c2-hex-subdomainstrreverse-reversed-command-obfuscationcertutil-decode-dropper-chains53a4a2b43e0fe695-exe-drop-path-tempwscript-shell-activex-obfuscated-com