Manuel Statik Analiz — MassLogger HTA Dropper | Tehdit: YUKSEK

Fichier Kimliği

SHA25671d86f769000ceee105b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8
Nom du fichierrckk8896011.hta (Windows HTML Application)
String Sayisi105 (minimal dropper)

Sovyet .su Domain TLD Kullanımı

IOC: .su (Sovyet Birliği eski TLD) — genellikle Rusça konuşan siber suçlular tarafından kullanılır!
pentatomid.su  -- .su TLD C2 domain #1
resented.su    -- .su TLD C2 domain #2
-- "pentatomid" = böcek türü (Hemiptera/Pentatomidae)
-- .su TLD = eski SSCB TLD, ICANN denetimsiz, siber suç tercihli

HTA Dropper Tekniği

HTA (HTML Application) dosyaları Windows'ta yönetici haklarıyla çalışabilir. JavaScript/VBScript içererek antivirüs tespitini zorlaştırır. MassLogger, çok sayıda uygulama hedef alan .NET credential stealer + keylogger ailesidir.

IOC

SHA25671d86f769000ceee105b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8
C2pentatomid.su
C2resented.su

MassLogger2 — Profil du malware

MassLogger .NET 2020. QUOTATION REQUEST-DTC-9-PQD-0137.JS 4.4MB max obfuskasyon. Tedarik hedefleme.

Type de malware
Infostealer
Langage de programmation
C#/.NET
Protocole C2
HTTP/SMTP
Systèmes ciblés
Kuresel

Capacités et comportement

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Liste IOC (2 indicateurs)

IOC — MassLogger2
# DOMAIN pentatomid.su # DOMAIN resented.su
TypeValeurNote
domain pentatomid.su
domain resented.su

Serveurs C2 (2 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
pentatomid.su domain 443 HTTPS inactive —
resented.su domain 443 HTTPS inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
massloggerhta-droppersu-tldsoviet-domainpentatomid-suresented-su