Manuel Statik Analiz — AgentTesla (SWIFT Lure) | Tehdit: KRITIK
ファイル Kimliği
| SHA256 | af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f |
|---|---|
| ファイル名 | SWIFT_Payment_Receipt_30062026.exe |
| サイズ | 354.411 byte |
| String Sayisi | 7.595 |
SWIFT Ödeme Makbuzu Tuzağı
Spear-Phishing: SWIFT ödeme makbuzu formatında kurumsal finansal belge taklidi!
SWIFT_Payment_Receipt_30062026 -- Haziran 30, 2026 tarihli SWIFT transfer makbuzu lure -- Hedef: Finans departmanı çalışanları, muhasebeciler
Danimarkalı Obfuskasyon Stringleri
//tryghedernes; chemokinetic221? perpendicularities? //Antileukemic204 udsides! pinic //Ejendomsadministrationens. radiotelegrammet204 //Telegramadresserne? srnumrets, udfoerelsens -- Danimarkalı "tryghedernes" (güvenlik), "Telegramadresserne" (Telegram adresi) -- Danimarkalı kod yorumlarıyla string obfuskasyonu!
Bitcoin Cüzdanları
12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz -- AgentTesla BTC cüzdanı #1 1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk -- AgentTesla BTC cüzdanı #2
IOC
| SHA256 | af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f |
|---|---|
| Lure | SWIFT ödeme makbuzu (30.06.2026) |
| BTC | 12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz |
| BTC | 1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk |
AgentTesla4 — マルウェアプロファイル
AgentTesla .NET MaaS 2014. XLS dropper. SMTP/FTP/Telegram exfil. freightfacilitators.com C2. Keylogger+clipboard.
マルウェアの種類
Infostealer
プログラミング言語
C#/.NET
C2プロトコル
SMTP/FTP/HTTP
標的システム
Finans/Kurumsal
機能と挙動
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOCリスト (1 件の指標)
IOC — AgentTesla4
# SHA256
af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f | len=63 |
C2サーバー (このファミリーで2台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| freightfacilitators.com | domain | 443 | HTTPS | active | — |
| iplam.co | domain | 443 | HTTPS | inactive | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。