AgentTesla Analyse de malware
Propriétés du fichier
SHA256: b27e4e81d7724137d631b4f876b82aea1dd186e78d76e59fd68bf0dc9c5d9c91
MD5: 65d212501ac81915d683aa6a0b703abe
Type de fichier: exe
Taille: 245,248 byte
Première observation: 2026-05-21
Signature AV: AgentTesla
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Signalé par: JAMESWT_WT
Étiquettes: AgentTesla, exe, ftp-abcebikes-com
Analyse statique : basée sur les métadonnées (échantillon non téléchargé)
AgentTesla — Profil du malware
AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.
Détails techniques
C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot
Attribution / Acteur de la menace
Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.
Capacités et comportement
Liste IOC (1 indicateurs)
# FILEPATH
b27e4e81d7724137d631b4f876b82aea1dd186e78d76e59fd68bf0dc9c5d9c91
| Type | Valeur | Note |
|---|---|---|
| filepath | b27e4e81d7724137d631b4f876b82aea1dd186e78d76e59fd68bf0dc9c5d9c91 | PDB |
Serveurs C2 (8 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| digicert.com | domain | — | TCP | active | — |
| stem.ru | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
| dublincore.org | domain | — | TCP | active | — |
| googleapis.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| freightfacilitators.com | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.