Statik Analiz — AgentTesla | MOYEN | CVSS: 5.0

Fichier

SHA25650f00b4b9ade133f22a09996a28c8ee6010c598d61408da185ecf45daabe0fc0
MD50271aea1ea4314b0373304c374809082
Fichier50f00b4b9ade133f22a09996a28c8ee6010c598d61408da185ecf45daabe0fc0.ps1
Taille952,832 byte
TypeASCII text, with CRLF, LF line terminators
Stringler14,672

IOC

SHA25650f00b4b9ade133f22a09996a28c8ee6010c598d61408da185ecf45daabe0fc0
MD50271aea1ea4314b0373304c374809082
BTC1BAZAKNgLAtHiJdxBxCkXbpK6Y, 3Lww7C1hwpTe9q5GdyFjqAZTUd, 3RAibv9YQFMn1hMUTHA8xMrS6wuWnyPx, 1huoTgbBbqV1adkeSRxf5rS1Vhi79Bdkk4, 1chpYJaNcrUCrPisQQowt5eW4NB

AgentTesla — Profil du malware

AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.

Type de malware
Infostealer
Langage de programmation
.NET
Protocole C2
SMTP/FTP
Systèmes ciblés
Windows
Aussi connu sous (AKA)
Agent Tesla

Détails techniques

C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot

Attribution / Acteur de la menace

Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.

Capacités et comportement

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Liste IOC (5 indicateurs)

IOC — AgentTesla
# 1BAZAKNgLAtHiJdxBxCkXbpK6Y # 3Lww7C1hwpTe9q5GdyFjqAZTUd # 3RAibv9YQFMn1hMUTHA8xMrS6wuWnyPx # 1huoTgbBbqV1adkeSRxf5rS1Vhi79Bdkk4 # 1chpYJaNcrUCrPisQQowt5eW4NB
TypeValeurNote
1BAZAKNgLAtHiJdxBxCkXbpK6Y BTC
3Lww7C1hwpTe9q5GdyFjqAZTUd BTC
3RAibv9YQFMn1hMUTHA8xMrS6wuWnyPx BTC
1huoTgbBbqV1adkeSRxf5rS1Vhi79Bdkk4 BTC
1chpYJaNcrUCrPisQQowt5eW4NB BTC

Serveurs C2 (8 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
digicert.com domain — TCP active —
stem.ru domain — TCP active —
digicert.com domain — TCP active —
dublincore.org domain — TCP active —
googleapis.com domain — TCP active —
microsoft.com domain — TCP active —
freightfacilitators.com domain — TCP active —
digicert.com domain — TCP active —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
AgentTeslamalwarestatik-analizIOC