Manuel Statik Analiz — GootKit / GootLoader | Tehdit: KRİTİK

Dosya Kimliği

SHA256f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c4
Dosya AdıRiba_domestic_building_contract_free[...].js (RIBA İnşaat Sözleşmesi!)
FormatJavaScript (.js) — 143.744 byte
String Sayisi3.166

Riba_domestic_building_contract_free: İngiltere İnşaat Sektörü SEO Lürü

SEO ZEHİRLEME: RIBA sözleşme şablonu kılığında!
Riba_domestic_building_contract_free[...].js
-- RIBA = Royal Institute of British Architects (Kraliyet Mimar Enstitüsü)
-- "domestic_building_contract" = konut inşaat sözleşmesi
-- "_free" = ücretsiz şablon (indirme teşviki)
-- Hedef: İngiltere mimarlık firmaları, inşaat müteahhitleri, avukatlar
-- GootKit SEO zehirleme: Google'da "RIBA sözleşme şablonu" arandığında ilk sıralarda!
-- Önceki kampanya: "Legal_Case_Management_Guide" (batch 75)
-- Aynı taktik: Hukuk → Şimdi İnşaat sektörüne genişledi

answerw Obfuscated JavaScript Payload

PAYLOAD: Gizlenmiş GootKit JavaScript konfigürasyonu!
answerw='n|vCtlmclfg[+rgDao*(ro)3e|]9zo))+l5]sC2(ie(DtsD(5|[8+aG)cTv)awm;uegSgNgNhk/m[...]'
-- "answerw" = obfuscated JavaScript değişkeni
-- İçerik: regex-like obfuscation → C2 URL + komut + payload
-- "sC2" = payload içinde C2 referansı
-- RegExp + eval ile decode edilecek multi-layer obfuscation
-- GootKit: 5+ katmanlı JavaScript gizleme kullanır

Stanford + astron-soc.in: Meşru Site Dead Drop

http://hummer.stanford.edu/museinf[...]  -- Stanford Üniversitesi URL
http://astron-soc.in/bulletin/11June/289392011.pdf  -- Hint Astronomi Derneği
-- GootKit: C2 komutlarını meşru sitelerde gizler (dead drop)
-- Stanford/akademik URL: güvenlik filtreleri engelleme yapmaz
-- "289392011" = victim/session ID gibi görünen numara
-- Ziyaret edilen meşru siteden payload/komut çekilir → trafik normal görünür

IOC

SHA256f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c4
LureRIBA domestic building contract (UK)
Dead Drophummer.stanford.edu, astron-soc.in

GootKit — Malware Profile

GootKit GootLoader. RIBA UK construction seo poisoning. JS obfuscation. Stanford dead drop.

Malware Type
Backdoor
Programming Language
C++
C2 Protocol
HTTPS .su
Target Systems
Küresel/UK

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (2 indicators)

IOC — GootKit
# SHA256 f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c # DOMAIN astron-soc.in
TypeValueNote
sha256 f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c
domain astron-soc.in

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
shinezv.su domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
gootkitgootloaderriba-domestic-building-contract-uk-lureuk-construction-sector-targetinganswerw-obfuscated-jsstanford-hummer-urlastron-soc-in-urlseo-poisoning