Manuel Statik Analiz (LLM Okumali) — Gozi/ISFB Banking Trojan | Tehdit: YUKSEK

Dosya Kimligi

SHA256c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f
Dosya Adiatw3.dll
FormatPE DLL (yuksek entropi, paketlenmis)
String Sayisi776 (agir paketleme/sifreleme)

Paketleme Analizi

776 string, bu boyuttaki bir DLL icin oldukca dusuk. Gozi/ISFB, C2 adresleri ve web inject konfigürasyonunu runtime'da RC4 ile sifreli tutmaktadir. PageSetupDlgW / PageSetupDlgA Win32 print dialog sarmalayicilari gorulebilmektedir; bu banking trojanlarinda tipik bir yan etkidir.

Gozi/ISFB Hakkinda

Gozi (ISFB/Ursnif/DREAM olarak da bilinir), 2007 yilinda Rus underground piyasasinda ortaya cikan C tabanli bir banking trojanidır. Web inject, form grabbing, keylogging ve VNC modülleriyle online bankacilik oturum bilgilerini calarak kurbanin hesabindan transfer yapar. 2015 yilinda kaynak kodu sizintiyla GitHub'a dustu (ISFB). TA544, TA551 gibi gruplarla iliskilendirilmektedir.

IOC

SHA256c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f
FormatDLL (atw3.dll)
C2RC4 sifrelenmis (runtime)

Gozi — Malware Profile

Gozi ISFB Ursnif banking trojan. RegSaveKeyA registry dump. NotifyBootConfigStatus boot persistence.

Malware Type
Botnet
Programming Language
C++
C2 Protocol
HTTP (RC4)
Target Systems
Avrupa/Kuresel Finansal

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (1 indicators)

IOC — Gozi
# SHA256 c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f
TypeValueNote
sha256 c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f
Tags
goziisfbbanking-trojandllpaketlenmisform-grabberwebinject