파일 정보
| 속성 | 값 |
|---|---|
| SHA256 | bc4b5891b1294dac280e9c24e2f63b8659d5703d28b7ffa459940b266f00b822 |
| MD5 | 21880c0ba2b22b64426bdc1db714d2c8 |
| SHA1 | f22aa32da4c1b64c15312009ddcb7dc6bf3e3cdb |
| 파일 이름 | SWIFT_Payment_Receipt_26062026.exe |
| 크기 | 438,141 bytes |
| 아키텍처 | x86 |
| 컴파일 날짜 | 알 수 없음 |
| Packer | Tespit edilmedi |
| MB 최초 발견 | 2026-06-29 |
| MB 태그 | exe, AgentTesla, signed |
위협 프로필
패밀리: AgentTesla 분류: 높음 신뢰도: MEDIUM
AgentTesla, .NET tabanlı gelişmiş bir keylogger/infostealer ailesidir. SWIFT ödeme bildirimi temalı phishing ile hedeflere ulaşmaktadır. Tarayıcı şifreleri, e-posta kimlik bilgileri ve FTP hesaplarını çalarak SMTP üzerinden saldırgana iletmektedir. Bu örnek imzalı görünmekle birlikte dijital imzanın geçerliliği şüphelidir. C2 iletişimi SMTP protokolü üzerinden yapılmakta olup statik analizde plaintext kimlik bilgisi tespit edilememiştir (şifreli config).
탐지된 기능
- Keylogger (GetAsyncKeyState/SetWindowsHookEx)
- Screenshot alma
- Tarayıcı şifre çalma (Chrome, Firefox, Edge)
- E-posta client credential theft (Outlook, Thunderbird)
- FTP client credential theft (FileZilla, WinSCP)
- SMTP ile veri sızdırma
- Clipboard Monitor
- Webcam Capture
Anti-Analiz Teknikleri
- Anti-Debug kontrolleri
- .NET obfuscation
Kalıcılık Mekanizmaları
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SmtpAgt
Enjeksiyon Teknikleri
- Process Injection
C2 Sunucuları
IOC Listesi
| Tip | 값 |
|---|---|
| sha256 | bc4b5891b1294dac280e9c24e2f63b8659d5703d28b7ffa459940b266f00b822 |
| md5 | 21880c0ba2b22b64426bdc1db714d2c8 |
| domain | cacerts.digicert.com |
| domain | crl3.digicert.com |
| domain | Microsoft.Windows.Com |
| domain | nsis.sf.net |
| domain | ocsp.digicert.com |
| domain | www.digicert.com |
| Udlndingeloven@Multilayer.Kr |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
AgentTesla — 악성코드 프로필
AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.
기술 세부 정보
C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot
귀속 / 위협 행위자
Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.
기능 및 동작
IOC 목록 (2 개 지표)
# SHA256
bc4b5891b1294dac280e9c24e2f63b8659d5703d28b7ffa459940b266f00b822
# MD5
21880c0ba2b22b64426bdc1db714d2c8
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | bc4b5891b1294dac280e9c24e2f63b8659d5703d28b7ffa459940b266f00b822 | |
| md5 | 21880c0ba2b22b64426bdc1db714d2c8 |
C2 서버 (이 패밀리에 대해 8개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| digicert.com | domain | — | TCP | active | — |
| stem.ru | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
| dublincore.org | domain | — | TCP | active | — |
| googleapis.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| freightfacilitators.com | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.