Manuel Statik Analiz — ZLoader (Banking Trojan) | Tehdit: YUKSEK

Dosya Kimliği

SHA256a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıHexaPort.dll (→ payload PE)
Boyut526.848 byte (526KB)
String Sayisi2.263

HexaPort: Özel DLL İsmi

HexaPort.dll
-- "Hexa" = altı (hex) → hexadecimal? port 6?
-- "Port" = ağ portu veya DLL export port noktaları
-- Özel isim DLL: Windows sistem DLL'i gibi görünmek amaçlı değil
-- ZLoader bu DLL'i süreç inject yoluyla çalıştırıyor

{INJECTDATA} Web Inject Şablonu

Banking Web Inject: ZLoader'ın imza tekniği!
{INJECTDATA}
-- ZLoader'ın web inject konfigürasyon şablonu!
-- Çalışma zamanında {INJECTDATA} içeriği doldurulur:
  → Hedef banka siteleri (URL listesi)
  → Enjekte edilecek HTML/JS kodu
  → Sahte giriş formu / OTP interception kodu
-- Browser hook: site yüklendiğinde şablondaki HTML enjekte edilir
-- Kullanıcı gerçek bankayı ziyaret ediyor ama sahte alan görüyor
-- ZLoader hedef bankaları: 2022 Microsoft/CISA ortak operasyon sonucu C2 altyapısı yıkıldı (faaliyetler 2024'te yeniden başladı)

IOC

SHA256a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Inject Template{INJECTDATA} (web inject şablonu)
DLLHexaPort.dll

Zloader3 — Malware Profile

ZLoader banking trojan. HexaPort.dll {INJECTDATA} web inject. Browser hook banka sitesi modify. Microsoft CISA 2022 disruption.

Malware Type
Botnet
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Bankacılık

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (1 indicators)

IOC — Zloader3
# SHA256 a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
zloaderhexaport-dllinjectdata-web-inject-templatebanking-trojanbrowser-injectregcreatekeyexw