Manuel Statik Analiz — SocGholish JavaScript Stager | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | 8f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2 |
|---|---|
| Taille | 262 byte — İnsan gözüyle okunabilir JS stager! |
| String Sayisi | 1 (tek URL) |
Ele Geçirilmiş Web Sitesi — Seattle Mystery Lovers Kitabevi
Teknik: SocGholish meşru ve güvenilir web sitelerine enjekte ediliyor — kullanıcılar güvendikleri web sitelerini ziyaret ederek enfekte oluyor!
https://editions.seattlemysterylovers.com/I8l9JljrHk9H60cUFvxRBFHrRwRLqxNHRq4MU025Dkl -- seattlemysterylovers.com = gerçek Seattle Mystery Lovers kitabevi -- /editions/ alt dizininde zararlı JS enjekte edilmiş -- Rastgele görünen URL yolu = gizlenmiş payload endpoint -- 262 byte = minimal izlenimi bırakacak kadar küçük
SocGholish (FakeUpdates) Hakkında
SocGholish, TA569 tehdit aktörünün yönettiği drive-by download kampanyasıdır. Meşru web sitelerine zararlı JS enjekte eder ve kullanıcıya sahte "tarayıcı/yazılım güncellemesi" göstererek payload indirtir. WastedLocker ransomware ve BLISTER loader dağıtımında kullanılmıştır.
IOC
| SHA256 | 8f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2 |
|---|---|
| C2 | editions.seattlemysterylovers.com (ele geçirilmiş) |
| Aktör | TA569 / FakeUpdates |
SocGholish — Profil du malware
SocGholish FakeUpdates 2017. seattlemysterylovers.com ele gecirilmis kitabevi. 262 byte stager. CMS inject.
Type de malware
Loader
Langage de programmation
JavaScript
Protocole C2
HTTPS
Systèmes ciblés
Kuresel Web Tarayıcı
Capacités et comportement
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Liste IOC (1 indicateurs)
IOC — SocGholish
# DOMAIN
seattlemysterylovers.com
| Type | Valeur | Note |
|---|---|---|
| domain | seattlemysterylovers.com |
Serveurs C2 (1 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| seattlemysterylovers.com | domain | 443 | HTTPS | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.