Manuel Statik Analiz (LLM Okumali) — DBatLoader (ModiLoader) | Tehdit: YUKSEK

Fichier Kimligi

SHA25693dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32
Arsiv AdiROUVALISXWINESXINQUIRYXSHEET.pdf.lzh
FormatLZH arsivi — .pdf.lzh cift uzantisi ile kamufle
Taille491.887 byte

Sosyal Muhendislik Vektoru

B2B Sosyal Muhendislik: "ROUVALLIS WINES INQUIRY SHEET" — sahte bir seker/sahap sirketi sorgu belgesi. Uluslararasi ticaret sektoru hedefli spear-phishing.
  • Cift uzanti: .pdf.lzh — kullanici .pdf gorur, gercekte arsiv
  • B2B sektor yemi: ticari sorgu belgesi, siparis listesi, fatura

DBatLoader (ModiLoader) Hakkinda

DBatLoader (ModiLoader), Delphi ve VB6 ile yazilmis bir downloader/loader ailesidir. Sahte ticaret belgeleri (LZH, ISO, PDF) ile dagitilir. AgentTesla, Remcos, NjRAT gibi ikinci asama RAT/stealerlar icin kullanilir. 2021'den bu yana aktif olan Turk ve Orta Avrupa hedefli kampanyalarla ozellikle bilinmektedir.

IOC

SHA25693dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32
YemROUVALISXWINESXINQUIRYXSHEET.pdf.lzh
HedefB2B / Ticaret Sektoru

DBatLoader — Profil du malware

DBatLoader/ModiLoader. PaymentXAdvice ZIP lure. Brazilian Portuguese targeting. pt-BR locale.

Type de malware
Loader
Langage de programmation
Delphi
Protocole C2
HTTP
Systèmes ciblés
Windows
Aussi connu sous (AKA)
ModiLoader

Détails techniques

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Capacités et comportement

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Liste IOC (1 indicateurs)

IOC — DBatLoader
# SHA256 93dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32
TypeValeurNote
sha256 93dac8b7a45c2a5f23e51cbbc97a746940224d2ed8b3e46f271a89cfa1b84f32

Serveurs C2 (3 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
176.32.34.88 ip 80 HTTP active UA
194.33.45.78 ip 443 HTTPS inactive CZ
85.195.206.19 ip 80 HTTP inactive AT

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
dbatloadermodiloaderpdf-lzhticari-sozlesmeksosyal-muhendislikarsiv