Manuel Statik Analiz — ZLoader Banking Trojan | Tehdit: KRİTİK

Dosya Kimliği

SHA256a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Dosya AdıHexaPort.dll (meşru görünümlü DLL adı)
Boyut526.848 byte (514KB)
String Sayisi2.263

{INJECTDATA}: Web Enjeksiyon Şablon Değişkeni

WEB INJECT: Bankacılık sitesi HTML manipülasyonu!
{INJECTDATA}
-- ZLoader'ın web inject konfigürasyon şablonu
-- "{INJECTDATA}" = enjekte edilecek kötü amaçlı HTML/JS
-- Çalışma şekli:
--   1) Tarayıcıya hook → HTTP yanıtları izleniyor
--   2) Hedef banka: bankname.com/login → tespit edildi
--   3) Sunucu yanıtı HTML'ine {INJECTDATA} ekleniyor
--   4) Kurbanın gördüğü sayfa: sahte 2FA alanı eklendi
--   5) Kurban: PIN/SMS kodu yazıyor → ZLoader C2'ye gönderiyor
-- Zeus/ZBot kökenli: 2010'dan bu yana bankaları hedef alıyor

HexaPort.dll: Meşru İsim Gizleme

HexaPort.dll
-- "Hex" = hexadecimal (teknik terim)
-- "Port" = ağ portu
-- "HexaPort" = gerçek bir uygulama gibi ses çıkarır
-- DLL enjeksiyon hedefi: tarayıcı prosesine (chrome.exe, firefox.exe) yüklenir

IOC

SHA256a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Web Inject{INJECTDATA} şablon değişkeni

ZLoader — Malware Profile

ZLoader Zeus tabanlı banking trojan. INJECTDATA web inject sablon. HexaPort.dll tarayici enjeksiyonu. Bankacılık form grab.

Malware Type
Backdoor
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Küresel/Bankacılık

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — ZLoader
# SHA256 a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
zloaderinjectdata-web-inject-templatehexaport-dllbanking-webinjecthtml-injectionregcreatekeyexw-persistence