Fichier Kimligi
| SHA256 | 4b2eff9001a6b53c43b71e6632216679d9d4fd61814ac358a75cb32db9cc44b8a |
|---|---|
| Orijinal Ad | Directrices de politicas para empleados 2026.pdf.exe |
| Taille | 342.816 byte |
| Packer | NSIS (Nullsoft Install System) |
Teslimat: Ispanyolca Insan Kaynaklari Tuzagi
...2026.pdf.exe — dosyanin PDF olduguna dair yaniltic bir ad. Ispanyolca anlami: "2026 calisanlar icin politika talimatnamesi"
Bu ornek Latin Amerika veya Ispanya kokenli sirketlere yonelik bir spear-phishing kampanyasinin parcasidir. Insan kaynaklari (IK) belgesi olarak sunulan bu dosya, yetkisiz calisimlari tetiklemek icin hedef kurulusun dil/kultur profiliyle uyumludur.
NSIS Dropper Ozellikleri
Dis katmani bir NSIS (Nullsoft Install System) yükleyicisidir. Icerige erisim icin NSIS'i acmak gerekir; statik stringler yalnizca NSIS altyapisini gosterir. Gercek AgentTesla payload'i icindir ve sifrelenmis/gizlenmis bir kaynak olarak saklanir.
AgentTesla V3 Bilinen Yetenekleri
| Yetenek | Detay |
|---|---|
| SMTP Exfil | Cleartext kimlik bilgileri ile Gmail/Yahoo/Yandex SMTP uzerinden gonderim |
| Telegram Exfil | Bot API token ile Telegram botuna gonderim |
| FTP Exfil | FTP sunucusu uzerinden dosya gonderimi |
| Keylogger | Tus kaydi ve clipboard izleme |
| Tarayici | Chrome, Firefox, Edge sifre calma |
| Outlook, Thunderbird kimlik bilgisi calma | |
| VPN | OpenVPN kimlik bilgisi calma |
| Ekran | Periyodik ekran goruntusu |
IOC
| SHA256 | 4b2eff9001a6b53c43b71e6632216679d9d4fd61814ac358a75cb32db9cc44b8a |
|---|---|
| Lure | Directrices de politicas para empleados 2026.pdf.exe |
| Hedef Dil | Ispanyolca (Latin Amerika / Ispanya) |
| Packer | NSIS Dropper |
| C2 | SMTP/Telegram/FTP (sifrelenmis, dinamik analiz gerekli) |
AgentTesla — Profil du malware
AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.
Détails techniques
C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot
Attribution / Acteur de la menace
Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.
Capacités et comportement
Liste IOC (1 indicateurs)
# SHA256
4b2eff9001a6b53c43b71e6632216679d9d4fd61814ac358a75cb32db9cc44b8a
| Type | Valeur | Note |
|---|---|---|
| sha256 | 4b2eff9001a6b53c43b71e6632216679d9d4fd61814ac358a75cb32db9cc44b8a |
Serveurs C2 (8 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| digicert.com | domain | — | TCP | active | — |
| stem.ru | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
| dublincore.org | domain | — | TCP | active | — |
| googleapis.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| freightfacilitators.com | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.