AgentTesla Analyse de malware
Propriétés du fichier
SHA256: 49457f4873d15debba87933ff93d9709c820d2e3ca35658af3cff7c26b62dda4
MD5: ec83b6003cb6fb9a31a342938e54446f
Type de fichier: exe
Taille: 98,304 byte
Première observation: 2026-06-20
Signature AV: AgentTesla
Imphash: 2df38eecc876e0e71c0fa85ae90a47f9
Signalé par: Kejult
Étiquettes: AgentTesla, exe, spyware
Analyse statique : basée sur les métadonnées (échantillon non téléchargé)
AgentTesla — Profil du malware
AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.
Détails techniques
C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot
Attribution / Acteur de la menace
Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.
Capacités et comportement
Liste IOC (1 indicateurs)
# FILEPATH
49457f4873d15debba87933ff93d9709c820d2e3ca35658af3cff7c26b62dda4
| Type | Valeur | Note |
|---|---|---|
| filepath | 49457f4873d15debba87933ff93d9709c820d2e3ca35658af3cff7c26b62dda4 | PDB |
Serveurs C2 (8 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| digicert.com | domain | — | TCP | active | — |
| stem.ru | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
| dublincore.org | domain | — | TCP | active | — |
| googleapis.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| freightfacilitators.com | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.