AgentTesla Analyse de malware
Propriétés du fichier
SHA256: 488a04dd1b79adde9860f84cdc3f0c3764d8c0e8b53c1506a73f2810796d0f56
MD5: 0f47c3cbf5739986115efe313cba7ce8
Type de fichier: wsf
Taille: 44,437 byte
Première observation: 2026-06-17
Signature AV: AgentTesla
Signalé par: fabiodemartin
Étiquettes: AgentTesla, wsf
Analyse statique : basée sur les métadonnées (échantillon non téléchargé)
AgentTesla — Profil du malware
AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.
Détails techniques
C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot
Attribution / Acteur de la menace
Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.
Capacités et comportement
Liste IOC (1 indicateurs)
# FILEPATH
488a04dd1b79adde9860f84cdc3f0c3764d8c0e8b53c1506a73f2810796d0f56
| Type | Valeur | Note |
|---|---|---|
| filepath | 488a04dd1b79adde9860f84cdc3f0c3764d8c0e8b53c1506a73f2810796d0f56 | PDB |
Serveurs C2 (8 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| digicert.com | domain | — | TCP | active | — |
| stem.ru | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
| dublincore.org | domain | — | TCP | active | — |
| googleapis.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| freightfacilitators.com | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.