Hachage / InfoValeur
SHA256d1305a9d97798f40e7af71e6c27a24472628829069cb6c8229480bb58f7a2859
MD5fa933040043424e0c3cae77314c8d9bc
SHA14ed096cd1a3ffdfe1e81929c7c36d0c6fc6e9cb2
ImpHash34d11129df66ebd670307dbe0a4ef542
Fichier AdiProforma Fatura ve Ödeme Bilgileri.exe
Type de fichierexe
Taille950,272 bytes
Première observation2025-05-09

Tehdit Valeurlendirmesi

Bu ornek, hedef sisteme ek zararlı yazılım yuklemek amacıyla tasarlanmis moduler bir yukleyici (loader) olarak tespit edilmistir. Bankacılık trojanları, fidye yazılımları veya diger ikinci asama yukler indirebilmektedir.

Capacités détectées

  • Payload Indirme
  • Surec Enjeksiyonu
  • Kalicilik
  • Anti-Analiz
  • Sifrelenmis Iletisim

Étiquettes MalwareBazaar

DBatLoaderexegeoTUR

Note d’analyse

Bu ornek DBatLoader ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

DBatLoader — Profil du malware

DBatLoader/ModiLoader. PaymentXAdvice ZIP lure. Brazilian Portuguese targeting. pt-BR locale.

Type de malware
Loader
Langage de programmation
Delphi
Protocole C2
HTTP
Systèmes ciblés
Windows
Aussi connu sous (AKA)
ModiLoader

Détails techniques

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Capacités et comportement

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Liste IOC (2 indicateurs)

IOC — DBatLoader
# SHA256 d1305a9d97798f40e7af71e6c27a24472628829069cb6c8229480bb58f7a2859 # MD5 fa933040043424e0c3cae77314c8d9bc
TypeValeurNote
sha256 d1305a9d97798f40e7af71e6c27a24472628829069cb6c8229480bb58f7a2859
md5 fa933040043424e0c3cae77314c8d9bc

Serveurs C2 (3 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
176.32.34.88 ip 80 HTTP active UA
194.33.45.78 ip 443 HTTPS inactive CZ
85.195.206.19 ip 80 HTTP inactive AT

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
DBatLoaderexegeoTUR