Manuel Statik Analiz — AgentTesla (SWIFT Lure) | Tehdit: KRITIK

Dosya Kimliği

SHA256af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
Dosya AdıSWIFT_Payment_Receipt_30062026.exe
Boyut354.411 byte
String Sayisi7.595

SWIFT Ödeme Makbuzu Tuzağı

Spear-Phishing: SWIFT ödeme makbuzu formatında kurumsal finansal belge taklidi!
SWIFT_Payment_Receipt_30062026
-- Haziran 30, 2026 tarihli SWIFT transfer makbuzu lure
-- Hedef: Finans departmanı çalışanları, muhasebeciler

Danimarkalı Obfuskasyon Stringleri

//tryghedernes; chemokinetic221? perpendicularities?
//Antileukemic204 udsides! pinic
//Ejendomsadministrationens. radiotelegrammet204
//Telegramadresserne? srnumrets, udfoerelsens
-- Danimarkalı "tryghedernes" (güvenlik), "Telegramadresserne" (Telegram adresi)
-- Danimarkalı kod yorumlarıyla string obfuskasyonu!

Bitcoin Cüzdanları

12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz  -- AgentTesla BTC cüzdanı #1
1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk  -- AgentTesla BTC cüzdanı #2

IOC

SHA256af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
LureSWIFT ödeme makbuzu (30.06.2026)
BTC12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz
BTC1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk

AgentTesla4 — Malware Profile

AgentTesla .NET MaaS 2014. XLS dropper. SMTP/FTP/Telegram exfil. freightfacilitators.com C2. Keylogger+clipboard.

Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
SMTP/FTP/HTTP
Target Systems
Finans/Kurumsal

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — AgentTesla4
# SHA256 af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
TypeValueNote
sha256 af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f len=63

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
freightfacilitators.com domain 443 HTTPS active —
iplam.co domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
agentteslaswift-luredanish-obfuscationbtc-wallettryghedernestelegramadresserne