Manuel Statik Analiz — AgentTesla (XLS Dropper) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | ad7b9eaa692cbfe61735168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | .xls (Excel dosyası delivery) |
| Boyut | 1.735.168 byte (1.7MB XLS) |
| String Sayisi | 8.078 |
C2 Domainleri
freightfacilitators.com -- Navlun/taşımacılık şirketi taklidi C2! iplam.co -- .co Colombia TLD, kısa 5-char domain
Office 365 Relay Sunucu İzleri
FR1PEPF00000F0D.DE -- Fransa bölgesi O365 relay (FR prefix) FR2P281MB1447.DE -- Microsoft Exchange Online (FR datacenter) FR4P281CA0107.DE -- Fransa O365 mail server mx06.ispgateway.de (80.67.18.37) -- SMTP relay IP! -- AgentTesla SMTP üzerinden çalınan verileri iletir -- Kurbanın kendi O365 hesabı üzerinden exfil yapabilir
IOC
| SHA256 | ad7b9eaa692cbfe61735168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | freightfacilitators.com |
| C2 | iplam.co (.co TLD) |
| SMTP | 80.67.18.37 (mx06.ispgateway.de) |
AgentTesla4 — Malware Profile
AgentTesla .NET MaaS 2014. XLS dropper. SMTP/FTP/Telegram exfil. freightfacilitators.com C2. Keylogger+clipboard.
Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
SMTP/FTP/HTTP
Target Systems
Finans/Kurumsal
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (3 indicators)
IOC — AgentTesla4
# IP
80.67.18.37
# DOMAIN
freightfacilitators.com
# DOMAIN
iplam.co
| Type | Value | Note |
|---|---|---|
| ip | 80.67.18.37 | |
| domain | freightfacilitators.com | |
| domain | iplam.co |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| freightfacilitators.com | domain | 443 | HTTPS | active | — |
| iplam.co | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.