Manuel Statik Analiz — ModiLoader (DBatLoader) | Tehdit: YUKSEK

Fichier Kimliği

SHA256b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8
Nom du fichierflxfmg.exe
Taille407.040 byte
String Sayisi3.310

Şifreli C2 Config Fragmentleri

2'212;2C2I2W2r2  -- C2 config şifreli veri bloğu
1+2@2c2{2        -- C2 config fragmenti
222C2            -- C2 referansı

ModiLoader/DBatLoader Hakkında

ModiLoader (DBatLoader), 2022'den beri aktif Delphi tabanlı loader ailesidir. AgentTesla, FormBook, LokiBot, Remcos gibi bilgi hırsızlarını ve RAT'ları yüklemek için kullanılır. İş konulu e-posta (spear-phishing) ile dağıtılır. Bulut depolama (OneDrive, Google Drive) üzerinden payload indirme özelliği vardır.

IOC

SHA256b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8

ModiLoader — Profil du malware

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

Type de malware
Loader
Langage de programmation
Delphi
Protocole C2
HTTP
Systèmes ciblés
Windows

Détails techniques

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Capacités et comportement

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Liste IOC (1 indicateurs)

IOC — ModiLoader
# SHA256 b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8
TypeValeurNote
sha256 b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8
Tags
modiloaderdbatloaderloaderencrypted-c2agenttesla-dropper