Manuel Statik Analiz (LLM Okumali) — MassLogger HTA Dropper | Tehdit: YUKSEK
파일 Kimligi
| SHA256 | 9fa0a88635b1c1d31ccf0fa03f7616ee716e8b5d26ff55064bf894212d5e10f1 |
|---|---|
| Orijinal Ad | QUOTE-05348-2026.pdf.hta |
| 크기 | 403.894 byte (.hta) |
| Format | HTML Application (HTA) — mshta.exe ile calisir |
Teslimat Vektoru — Teklif Belgesi Phishing
파일, 05348 numarali 2026 yili teklif belgesi olarak sunulmaktadir. Cift uzantili dosya adi (*.pdf.hta) ile kurbanlar PDF zannedip aslinda bir HTA scripti calistirmaktadir. mshta.exe sisteme kurulu oldugu icin Windows'ta otomatik olarak calisabilmektedir.
C2 Altyapisi
MassLogger exfil kanalini SMTP veya FTP olarak konfigurasyon icinde saklar. Bu ornekte HTA dosyasi yogun obfuskasyona maruz kalmis (107 string); cleartext C2 gorunmemektedir. MassLogger genellikle kurban bilgilerini dogrudan SMTP e-postasi ile saldirganın posta kutusuna gonderir.
Bilinen MassLogger Yetenekleri
- Keylogger (tum tuslamalari kaydeder)
- Tarayici kimlik bilgileri calma: Chrome, Firefox, Edge, Opera
- Email istemcisi calma: Outlook, Thunderbird
- FTP istemcisi calma: FileZilla
- SMTP veya FTP ile exfil
- Ekran goruntüsü
- Clipboard izleme
IOC
| SHA256 | 9fa0a88635b1c1d31ccf0fa03f7616ee716e8b5d26ff55064bf894212d5e10f1 |
|---|---|
| 파일 | QUOTE-05348-2026.pdf.hta |
| C2 | Sifrelenmis SMTP/FTP (dinamik analiz gerekli) |
MassLogger — 악성코드 프로필
MassLogger credential stealer. PT2600000043.js Portekiz fatura lurü. CommonJS obfuscation. dispatch configuration data.
악성코드 유형
Infostealer
프로그래밍 언어
C#/.NET
C2 프로토콜
SMTP/FTP
대상 시스템
Windows
기능 및 동작
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC 목록 (1 개 지표)
IOC — MassLogger
# SHA256
9fa0a88635b1c1d31ccf0fa03f7616ee716e8b5d26ff55064bf894212d5e10f1
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 9fa0a88635b1c1d31ccf0fa03f7616ee716e8b5d26ff55064bf894212d5e10f1 |