Manuel Statik Analiz — DBatLoader | Tehdit: ORTA

Dosya Kimliği

SHA25648f17ccf4dc1488c1705345b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıPaymentXAdvice.zip (ödeme bildirimi!)
Boyut1.705.345 byte (1.63MB)
String Sayisi3.439

PaymentXAdvice: Ödeme Bildirimi ZIP Lürü

PaymentXAdvice.zip
-- "Payment" = ödeme
-- "X" = ayraç (sıra dışı separator)
-- "Advice" = bildirim (bank "Payment Advice" = ödeme talimatı/bildirimi)
-- "Payment Advice" = muhasebe/bankacılık belgesi
  - Finans departmanları ödeme bildirimleri beklediğinden açar
  - ZIP: e-posta eklerinde geçen filtrelerden geçer
-- "X" araya ekleme: "PaymentAdvice" → "PaymentXAdvice" (URL/spam filter bypass)

portuguese-brazilian: Brezilya Portekizce Lokalizasyon

HEDEF: Latin Amerika — Brezilya iş dünyası!
portuguese-brazilian
-- pt-BR locale string: Brezilya Portekizcesi yerelleştirme!
-- DBatLoader: Brezilya kurumsal sektörünü hedef alıyor
-- Brezilya: Latin Amerika'da büyük finans/bankacılık ekosistemi
-- Dil kaydı: insan kaynakları/muhasebe sistemlerini yerelleştirme
-- Kampanya: Brezilya şirketlerine "Ödeme Bildirimi" gönderiliyor
-- DBatLoader ayrıca: Avrupa ve Orta Doğu'yu da hedef alır

IOC

SHA25648f17ccf4dc1488c1705345b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LurePaymentXAdvice.zip
Localeportuguese-brazilian (pt-BR)

DBatLoader — Malware Profile

DBatLoader/ModiLoader. PaymentXAdvice ZIP lure. Brazilian Portuguese targeting. pt-BR locale.

Malware Type
Loader
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Windows
Also Known As (AKA)
ModiLoader

Technical Details

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — DBatLoader
# SHA256 48f17ccf4dc1488c1705345b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 48f17ccf4dc1488c1705345b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

C2 Servers (3 recorded servers for this family)

Address Type Port Protocol Status Country
176.32.34.88 ip 80 HTTP active UA
194.33.45.78 ip 443 HTTPS inactive CZ
85.195.206.19 ip 80 HTTP inactive AT

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
dbatloadermodiloaderdbat-loaderpaymentxadvice-zip-payment-advice-lureportuguese-brazilian-pt-br-brazil-targetingisdebuggerpresent-anti-debuglatin-america-targeting