AgentTesla Analyse de malware
Propriétés du fichier
SHA256: 61c5833831b300b97a6bbacf5b8dcdeca31f7a121dd3d4d2822e3a81b5ac63a8
MD5: b9ad86637f279789604228df68d6b1d5
Type de fichier: vbs
Taille: 1,885,391 byte
Première observation: 2026-06-19
Signature AV: AgentTesla
Signalé par: nat
Étiquettes: AgentTesla, vbs
Analyse statique : basée sur les métadonnées (échantillon non téléchargé)
AgentTesla — Profil du malware
AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.
Détails techniques
C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot
Attribution / Acteur de la menace
Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.
Capacités et comportement
Liste IOC (1 indicateurs)
# FILEPATH
61c5833831b300b97a6bbacf5b8dcdeca31f7a121dd3d4d2822e3a81b5ac63a8
| Type | Valeur | Note |
|---|---|---|
| filepath | 61c5833831b300b97a6bbacf5b8dcdeca31f7a121dd3d4d2822e3a81b5ac63a8 | PDB |
Serveurs C2 (8 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| digicert.com | domain | — | TCP | active | — |
| stem.ru | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
| dublincore.org | domain | — | TCP | active | — |
| googleapis.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| freightfacilitators.com | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.