AgentTesla Analyse de malware
Propriétés du fichier
SHA256: 7389bea975cfb69d0e26f91aed307246b2cd6daaee95069b3c08392729de0150
MD5: 740a31028d80d91f80acf8473a120e50
Type de fichier: exe
Taille: 2,386,432 byte
Première observation: 2026-04-28
Signature AV: AgentTesla
Imphash: b681f4757a973c7a5da31843fdf493e3
Signalé par: threatcat_ch
Étiquettes: AgentTesla, exe
Analyse statique : basée sur les métadonnées (échantillon non téléchargé)
AgentTesla — Profil du malware
AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.
Détails techniques
C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot
Attribution / Acteur de la menace
Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.
Capacités et comportement
Liste IOC (1 indicateurs)
# FILEPATH
7389bea975cfb69d0e26f91aed307246b2cd6daaee95069b3c08392729de0150
| Type | Valeur | Note |
|---|---|---|
| filepath | 7389bea975cfb69d0e26f91aed307246b2cd6daaee95069b3c08392729de0150 | PDB |
Serveurs C2 (8 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| digicert.com | domain | — | TCP | active | — |
| stem.ru | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
| dublincore.org | domain | — | TCP | active | — |
| googleapis.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| freightfacilitators.com | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.