Manuel Statik Analiz — AgentTesla (XLS Dropper) | Tehdit: YUKSEK

Dosya Kimliği

SHA256ad7b9eaa692cbfe61735168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adı.xls (Excel dosyası delivery)
Boyut1.735.168 byte (1.7MB XLS)
String Sayisi8.078

C2 Domainleri

freightfacilitators.com  -- Navlun/taşımacılık şirketi taklidi C2!
iplam.co                 -- .co Colombia TLD, kısa 5-char domain

Office 365 Relay Sunucu İzleri

FR1PEPF00000F0D.DE  -- Fransa bölgesi O365 relay (FR prefix)
FR2P281MB1447.DE    -- Microsoft Exchange Online (FR datacenter)
FR4P281CA0107.DE    -- Fransa O365 mail server
mx06.ispgateway.de (80.67.18.37)  -- SMTP relay IP!
-- AgentTesla SMTP üzerinden çalınan verileri iletir
-- Kurbanın kendi O365 hesabı üzerinden exfil yapabilir

IOC

SHA256ad7b9eaa692cbfe61735168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2freightfacilitators.com
C2iplam.co (.co TLD)
SMTP80.67.18.37 (mx06.ispgateway.de)

AgentTesla4 — Malware Profile

AgentTesla .NET MaaS 2014. XLS dropper. SMTP/FTP/Telegram exfil. freightfacilitators.com C2. Keylogger+clipboard.

Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
SMTP/FTP/HTTP
Target Systems
Finans/Kurumsal

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (3 indicators)

IOC — AgentTesla4
# IP 80.67.18.37 # DOMAIN freightfacilitators.com # DOMAIN iplam.co
TypeValueNote
ip 80.67.18.37
domain freightfacilitators.com
domain iplam.co

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
freightfacilitators.com domain 443 HTTPS active —
iplam.co domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
agentteslaxls-dropperfreightfacilitators-comiplam-coo365-relayfr1pepf-serverfreight-logistics-lure