Manuel Statik Analiz — AgentTesla (SWIFT Lure) | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f |
|---|---|
| Dosya Adı | SWIFT_Payment_Receipt_30062026.exe |
| Boyut | 354.411 byte |
| String Sayisi | 7.595 |
SWIFT Ödeme Makbuzu Tuzağı
Spear-Phishing: SWIFT ödeme makbuzu formatında kurumsal finansal belge taklidi!
SWIFT_Payment_Receipt_30062026 -- Haziran 30, 2026 tarihli SWIFT transfer makbuzu lure -- Hedef: Finans departmanı çalışanları, muhasebeciler
Danimarkalı Obfuskasyon Stringleri
//tryghedernes; chemokinetic221? perpendicularities? //Antileukemic204 udsides! pinic //Ejendomsadministrationens. radiotelegrammet204 //Telegramadresserne? srnumrets, udfoerelsens -- Danimarkalı "tryghedernes" (güvenlik), "Telegramadresserne" (Telegram adresi) -- Danimarkalı kod yorumlarıyla string obfuskasyonu!
Bitcoin Cüzdanları
12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz -- AgentTesla BTC cüzdanı #1 1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk -- AgentTesla BTC cüzdanı #2
IOC
| SHA256 | af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f |
|---|---|
| Lure | SWIFT ödeme makbuzu (30.06.2026) |
| BTC | 12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz |
| BTC | 1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk |
AgentTesla4 — Malware Profile
AgentTesla .NET MaaS 2014. XLS dropper. SMTP/FTP/Telegram exfil. freightfacilitators.com C2. Keylogger+clipboard.
Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
SMTP/FTP/HTTP
Target Systems
Finans/Kurumsal
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — AgentTesla4
# SHA256
af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f | len=63 |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| freightfacilitators.com | domain | 443 | HTTPS | active | — |
| iplam.co | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.