Manuel Statik Analiz — ZLoader (Banking Trojan) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | HexaPort.dll (→ payload PE) |
| Boyut | 526.848 byte (526KB) |
| String Sayisi | 2.263 |
HexaPort: Özel DLL İsmi
HexaPort.dll -- "Hexa" = altı (hex) → hexadecimal? port 6? -- "Port" = ağ portu veya DLL export port noktaları -- Özel isim DLL: Windows sistem DLL'i gibi görünmek amaçlı değil -- ZLoader bu DLL'i süreç inject yoluyla çalıştırıyor
{INJECTDATA} Web Inject Şablonu
Banking Web Inject: ZLoader'ın imza tekniği!
{INJECTDATA}
-- ZLoader'ın web inject konfigürasyon şablonu!
-- Çalışma zamanında {INJECTDATA} içeriği doldurulur:
→ Hedef banka siteleri (URL listesi)
→ Enjekte edilecek HTML/JS kodu
→ Sahte giriş formu / OTP interception kodu
-- Browser hook: site yüklendiğinde şablondaki HTML enjekte edilir
-- Kullanıcı gerçek bankayı ziyaret ediyor ama sahte alan görüyor
-- ZLoader hedef bankaları: 2022 Microsoft/CISA ortak operasyon sonucu C2 altyapısı yıkıldı (faaliyetler 2024'te yeniden başladı)
IOC
| SHA256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Inject Template | {INJECTDATA} (web inject şablonu) |
| DLL | HexaPort.dll |
Zloader3 — Malware Profile
ZLoader banking trojan. HexaPort.dll {INJECTDATA} web inject. Browser hook banka sitesi modify. Microsoft CISA 2022 disruption.
Malware Type
Botnet
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Bankacılık
Capabilities & Behavior
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC List (1 indicators)
IOC — Zloader3
# SHA256
a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |