Manuel Statik Analiz — Tofsee Spambot | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1 |
|---|---|
| Taille | 78.336 byte (76KB) — minimal boyut! |
| String Sayisi | 546 |
C:\Users\Bruno\Desktop\file.exe: Geliştirici PDB
GELİŞTİRİCİ: "Bruno" + "file.exe" — en geçici isim!
C:\Users\Bruno\Desktop\file.exe -- "Bruno" = İtalyan/Portekiz/Brezilya adı -- "file.exe" = EN geçici build ismi (isim bile vermemiş!) -- "Desktop\" = doğrudan masaüstünde çalışıyor -- "file.exe": ikinci kez "file.exe" ismini kullanan geliştirici gördük - (LokiBot2'nin ISO'su içinde de "file" referansı) -- Bruno: spambot operatörü masaüstünde test ederken göndermiş
NtQueryInformationToken: Token Yetki Kontrolü
NtQueryInformationToken -- "InformationToken" = Windows erişim token'ı bilgisi -- NT katmanı: admin/sistem ayrıcalığı kontrolü -- Tofsee: spam göndermek için gerekli ayrıcalıkları kontrol eder -- Yetki yoksa: hata döner veya UAC bypass dener
ESMTP + mx connect + "Too big smtp respons": Spam Protokolü
SPAM: Doğrudan SMTP ile spam gönderim!
ESMTP Too big smtp respons (%d bytes) -- YAZIM HATASI: "response" → "respons"! Error sending command (sent = %d/%d) mx connect -- ESMTP = Extended Simple Mail Transfer Protocol -- "mx connect" = MX (Mail eXchanger) kaydına doğrudan bağlantı - MX lookup: hedef e-posta sunucusunu doğrudan bulur (relay gerektirmez) -- "Too big smtp respons" = TYPO! "response" değil "respons" - Geliştirici yazım hatası → İngilizce anadili olmayan geliştirici - Tanımlayıcı imza: bu typo Tofsee'nin tüm sürümlerinde bulunabilir -- Tofsee: 250M+ spam/gün kapasitesi olan büyük spam ağı
IOC
| SHA256 | ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1 |
|---|---|
| PDB | C:\Users\Bruno\Desktop\file.exe |
| Typo | "Too big smtp respons" (karakteristik yazım hatası) |
Tofsee — Profil du malware
Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.
Type de malware
Botnet
Langage de programmation
C++
Protocole C2
TCP
Systèmes ciblés
Kuresel Email
Capacités et comportement
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
Liste IOC (1 indicateurs)
IOC — Tofsee
# SHA256
ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1
| Type | Valeur | Note |
|---|---|---|
| sha256 | ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1 |