AgentTesla Analyse de malware
Propriétés du fichier
SHA256: 1d0550027ee4a5a6c0c1fa342c2ee1fce46aba9e0c3351570ebd34460708c0f3
MD5: 0db9e6668ef1783c80c8e7f4a5e23fa5
Type de fichier: js
Taille: 2,511,508 byte
Première observation: 2026-06-03
Signature AV: AgentTesla
Signalé par: lowmal3
Étiquettes: AgentTesla, js
Analyse statique : basée sur les métadonnées (échantillon non téléchargé)
AgentTesla — Profil du malware
AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.
Détails techniques
C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot
Attribution / Acteur de la menace
Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.
Capacités et comportement
Liste IOC (1 indicateurs)
# FILEPATH
1d0550027ee4a5a6c0c1fa342c2ee1fce46aba9e0c3351570ebd34460708c0f3
| Type | Valeur | Note |
|---|---|---|
| filepath | 1d0550027ee4a5a6c0c1fa342c2ee1fce46aba9e0c3351570ebd34460708c0f3 | PDB |
Serveurs C2 (8 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| digicert.com | domain | — | TCP | active | — |
| stem.ru | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
| dublincore.org | domain | — | TCP | active | — |
| googleapis.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| freightfacilitators.com | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.