Manuel Statik Analiz — AgentTesla (SWIFT Lure) | Tehdit: KRITIK
파일 Kimliği
| SHA256 | af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f |
|---|---|
| 파일 이름 | SWIFT_Payment_Receipt_30062026.exe |
| 크기 | 354.411 byte |
| String Sayisi | 7.595 |
SWIFT Ödeme Makbuzu Tuzağı
Spear-Phishing: SWIFT ödeme makbuzu formatında kurumsal finansal belge taklidi!
SWIFT_Payment_Receipt_30062026 -- Haziran 30, 2026 tarihli SWIFT transfer makbuzu lure -- Hedef: Finans departmanı çalışanları, muhasebeciler
Danimarkalı Obfuskasyon Stringleri
//tryghedernes; chemokinetic221? perpendicularities? //Antileukemic204 udsides! pinic //Ejendomsadministrationens. radiotelegrammet204 //Telegramadresserne? srnumrets, udfoerelsens -- Danimarkalı "tryghedernes" (güvenlik), "Telegramadresserne" (Telegram adresi) -- Danimarkalı kod yorumlarıyla string obfuskasyonu!
Bitcoin Cüzdanları
12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz -- AgentTesla BTC cüzdanı #1 1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk -- AgentTesla BTC cüzdanı #2
IOC
| SHA256 | af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f |
|---|---|
| Lure | SWIFT ödeme makbuzu (30.06.2026) |
| BTC | 12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz |
| BTC | 1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk |
AgentTesla4 — 악성코드 프로필
AgentTesla .NET MaaS 2014. XLS dropper. SMTP/FTP/Telegram exfil. freightfacilitators.com C2. Keylogger+clipboard.
악성코드 유형
Infostealer
프로그래밍 언어
C#/.NET
C2 프로토콜
SMTP/FTP/HTTP
대상 시스템
Finans/Kurumsal
기능 및 동작
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC 목록 (1 개 지표)
IOC — AgentTesla4
# SHA256
af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f | len=63 |
C2 서버 (이 패밀리에 대해 2개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| freightfacilitators.com | domain | 443 | HTTPS | active | — |
| iplam.co | domain | 443 | HTTPS | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.