Manuel Statik Analiz — Gozi/ISFB Banking Trojan | Tehdit: KRITIK
Fichier Kimliği
| SHA256 | c3b6be96582dc9223f9bcc09405b587d736d6dc451e8a2b5c1f4d7e0a3b6c9f2 |
|---|---|
| Nom du fichier | atw3.dll |
| Taille | 467.968 byte |
| String Sayisi | 776 (yoğun sıkıştırma) |
C2 Config Fragmenti
252C2U2e2r2 -- Gozi şifreli C2 config fragmenti
Gozi/ISFB Hakkında
Gozi (ISFB/Ursnif), 2006'dan beri aktif olan en köklü bankacılık trojanlarından biridir. Mevduat ele geçirme (web injection), keylogging, form grabbing yetenekleri vardır. 2010'da kaynak kodu sızdırılarak birçok varyant türetilmiştir (GozNym, Vawtrak, IAP). Avrupalı bankacılık kurumlarını özellikle hedef alır. İtalyan savcılar 2023'te geliştiricilerini suçlamıştır.
IOC
| SHA256 | c3b6be96582dc9223f9bcc09405b587d736d6dc451e8a2b5c1f4d7e0a3b6c9f2 |
|---|---|
| Taille | 467KB DLL (yoğun pack) |
Gozi — Profil du malware
Gozi ISFB Ursnif banking trojan. RegSaveKeyA registry dump. NotifyBootConfigStatus boot persistence.
Type de malware
Botnet
Langage de programmation
C++
Protocole C2
HTTP (RC4)
Systèmes ciblés
Avrupa/Kuresel Finansal
Capacités et comportement
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
Liste IOC (1 indicateurs)
IOC — Gozi
# SHA256
c3b6be96582dc9223f9bcc09405b587d736d6dc451e8a2b5c1f4d7e0a3b6c9f2
| Type | Valeur | Note |
|---|---|---|
| sha256 | c3b6be96582dc9223f9bcc09405b587d736d6dc451e8a2b5c1f4d7e0a3b6c9f2 |