Manuel Statik Analiz — ModiLoader (DBatLoader) | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |
|---|---|
| Nom du fichier | flxfmg.exe |
| Taille | 407.040 byte |
| String Sayisi | 3.310 |
Şifreli C2 Config Fragmentleri
2'212;2C2I2W2r2 -- C2 config şifreli veri bloğu
1+2@2c2{2 -- C2 config fragmenti
222C2 -- C2 referansı
ModiLoader/DBatLoader Hakkında
ModiLoader (DBatLoader), 2022'den beri aktif Delphi tabanlı loader ailesidir. AgentTesla, FormBook, LokiBot, Remcos gibi bilgi hırsızlarını ve RAT'ları yüklemek için kullanılır. İş konulu e-posta (spear-phishing) ile dağıtılır. Bulut depolama (OneDrive, Google Drive) üzerinden payload indirme özelliği vardır.
IOC
| SHA256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |
|---|
ModiLoader — Profil du malware
ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.
Type de malware
Loader
Langage de programmation
Delphi
Protocole C2
HTTP
Systèmes ciblés
Windows
Détails techniques
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Capacités et comportement
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Liste IOC (1 indicateurs)
IOC — ModiLoader
# SHA256
b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8
| Type | Valeur | Note |
|---|---|---|
| sha256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |