Manuel Statik Analiz — AgentTesla | Tehdit: YUKSEK

Dosya Kimliği

SHA256ad7b9eaa692cbfe61735168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adı.xls (Excel makro belgesi)
Boyut1.735.168 byte (1.7MB XLS)
String Sayisi8.078

SMTP Exfil Relay: ispgateway.de

Aktif Exfil Sunucusu: mx06.ispgateway.de (80.67.18.37)!
Received: from mx06.ispgateway.de (80.67.18.37) by
    by mx06.ispgateway.de with esmtps
-- AgentTesla çalınan verileri email ile saldırgana gönderiyor!
-- mx06.ispgateway.de = Almanya merkezli ISP SMTP relay
-- 80.67.18.37 = ispgateway.de sunucu IP'si
-- "Received: from" header'ı = kurban makinesinde oluşturulan email başlığı!
-- Bu string binary içinde hardcoded değil — AgentTesla'nın gönderdiği
  email'in Received header'ından kopyalandı → aktif kampanya kanıtı!

Excel XLS Makro Saldırısı

.xls (Excel 97-2003 eski format)
-- Eski XLS formatı: VBA makro desteği daha geniş
-- Office Protected View'ı daha kolay atlıyor
-- "Makroları etkinleştir" kandırma sosyal mühendislik
-- 1.7MB büyük XLS: gömülü payload/şifreli binary içeriyor

AgentTesla Hakkında

AgentTesla 2014'te Türkiye merkezli yasal "izleme yazılımı" olarak başladı, hızla MaaS formatına döndü. Keylogger, ekran görüntüsü, tarayıcı/email/FTP kimlik bilgisi çalar. SMTP, FTP, Telegram, HTTP C2 üzerinden veri gönderir. Yüzlerce farklı email konusu ile dağıtılır: fatura, sipariş, gümrük bildirimi.

IOC

SHA256ad7b9eaa692cbfe61735168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Lure.xls Excel makro belgesi
SMTP Relaymx06.ispgateway.de (80.67.18.37)

AgentTesla7 — Malware Profile

AgentTesla 2014 Turkiye MaaS. XLS makro dropper. mx06.ispgateway.de SMTP exfil. Keylogger+ekran+tarayici+FTP.

Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
SMTP/FTP/Telegram
Target Systems
Küresel Kurumsal

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — AgentTesla7
# IP 80.67.18.37
TypeValueNote
ip 80.67.18.37
Tags
agentteslaxls-macro-droppermx06-ispgateway-de80-67-18-37-smtp-relaysmtp-exfiltrationgerman-smtp-relay-abusecredential-theft