Manuel Statik Analiz — Eternity Stealer (VBScript Loader) | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | 1aa3321c7e05114a459013b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Nom du fichier | INVOICE-7141.JPEG.vbs |
| Taille | 459.013 byte |
| String Sayisi | 1 (tek URL — tamamı obfuskas!) |
Çift Uzantı Tuzağı
Sosyal Mühendislik: Windows uzantı gizleme ayarında kullanıcıya sadece "INVOICE-7141.JPEG" görünüyor — .vbs gizleniyor!
INVOICE-7141.JPEG.vbs -- Windows: "bilinen dosya uzantılarını gizle" aktif → ".JPEG" görünür -- Kullanıcı fatura JPEG dosyası sanıp çalıştırıyor -- Gerçek: VBScript (Windows Script Host ile çalışır) -- Neredeyse tüm string'ler obfuskasyon içinde — sadece 1 string çıkarıldı!
Hash Tabanlı .ru C2
39d30cfe5d033f4342c289362d.ru 39d30cfe5d033f4342c289362d.rU -- büyük U (case variation anti-IDN) -- "39d30cfe5d033f4342c289362d" = 26 karakter hex hash subdomain -- .ru Rusya TLD C2 -- Hash subdomain = her kurban için benzersiz takip URL'si
Eternity Project Hakkında
Eternity Project, 2022'de Telegram üzerinden satılan modüler MaaS platformudur. Stealer, Clipper, Worm, Ransomware ve DDoS modülleri ayrı ayrı satın alınabilir. $260/yıl gibi düşük fiyatla erişilebilir olmaktadır.
IOC
| SHA256 | 1aa3321c7e05114a459013b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | 39d30cfe5d033f4342c289362d.ru (hash subdomain) |
| Lure | INVOICE-7141.JPEG.vbs (çift uzantı) |
EternityPrj — Profil du malware
Eternity Project MaaS Telegram 2022. $260/yıl. Stealer+Clipper+Worm+Ransom. JPEG.vbs double extension.
Type de malware
Infostealer
Langage de programmation
VBScript
Protocole C2
HTTPS
Systèmes ciblés
Kuresel
Capacités et comportement
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
Liste IOC (1 indicateurs)
IOC — EternityPrj
# DOMAIN
39d30cfe5d033f4342c289362d.ru
| Type | Valeur | Note |
|---|---|---|
| domain | 39d30cfe5d033f4342c289362d.ru |
Serveurs C2 (1 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| 39d30cfe5d033f4342c289362d.ru | domain | 443 | HTTPS | inactive | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.