Manuel Statik Analiz — GuLoader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 72e855025d02c02f815041b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | recibo4747.exe (Portekizce "makbuz/fiş") |
| Boyut | 815.041 byte (815KB) |
| String Sayisi | 3.257 |
LATAM Hedefleme: Portekizce Makbuz Tuzağı
Bölgesel Hedefleme: Latin Amerika kurbanları!
recibo4747.exe -- "recibo" = Portekizce/İspanyolca "makbuz" veya "fiş" -- Brezilya, Meksika, Kolombiya, Arjantin gibi LATAM ülkeleri hedef -- "4747" = sıralı numara veya referans kodu -- Kurban: Portekizce/İspanyolca konuşan muhasebe personeli -- GetTickCount = sandbox timing kontrolü
Beş C2 Substring Referansı
lC2BCx c2QuBUR v3gx(C2?z "s\tC2 c2y7: -- GuLoader 5 farklı c2 referansı içeriyor -- lC2BCx: 'l' + C2 + 'BCx' = L letter prefix -- c2QuBUR: c2 + 'QuBUR' = uppercase QU pattern -- Tüm referanslar farklı struct/field offset'lerinden
Registry Manipülasyonu
RegEnumKeyW RegCloseKey RegDeleteKeyW -- Registry key SİLME! RegOpenKeyExW -- GuLoader Registry key'leri temizliyor: antivirüs/sandbox telemetri önleme -- RegDeleteKey: persistence temizliği veya sandbox artifact silme
IOC
| SHA256 | 72e855025d02c02f815041b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | recibo4747.exe (LATAM makbuz tuzağı) |
GuLoader3 — Malware Profile
GuLoader CloudEye shellcode loader. recibo4747 LATAM lure. 5 c2 substring. RegDeleteKey. Google Drive/OneDrive payload hosting.
Malware Type
Loader
Programming Language
C
C2 Protocol
HTTP/HTTPS
Target Systems
LATAM/Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — GuLoader3
# SHA256
72e855025d02c02f815041b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 72e855025d02c02f815041b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |