Dosya Kimligi
| SHA256 | c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f |
|---|---|
| Dosya Adi | atw3.dll |
| Format | PE DLL (yuksek entropi, paketlenmis) |
| String Sayisi | 776 (agir paketleme/sifreleme) |
Paketleme Analizi
776 string, bu boyuttaki bir DLL icin oldukca dusuk. Gozi/ISFB, C2 adresleri ve web inject konfigürasyonunu runtime'da RC4 ile sifreli tutmaktadir. PageSetupDlgW / PageSetupDlgA Win32 print dialog sarmalayicilari gorulebilmektedir; bu banking trojanlarinda tipik bir yan etkidir.
Gozi/ISFB Hakkinda
Gozi (ISFB/Ursnif/DREAM olarak da bilinir), 2007 yilinda Rus underground piyasasinda ortaya cikan C tabanli bir banking trojanidır. Web inject, form grabbing, keylogging ve VNC modülleriyle online bankacilik oturum bilgilerini calarak kurbanin hesabindan transfer yapar. 2015 yilinda kaynak kodu sizintiyla GitHub'a dustu (ISFB). TA544, TA551 gibi gruplarla iliskilendirilmektedir.
IOC
| SHA256 | c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f |
|---|---|
| Format | DLL (atw3.dll) |
| C2 | RC4 sifrelenmis (runtime) |
Gozi — Malware Profile
Gozi ISFB Ursnif banking trojan. RegSaveKeyA registry dump. NotifyBootConfigStatus boot persistence.
Capabilities & Behavior
IOC List (1 indicators)
# SHA256
c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f
| Type | Value | Note |
|---|---|---|
| sha256 | c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f |