Derin Statik Analiz — JS Dropper (REQNEWINQUIRY2026PDF) | Tehdit: KRİTİK

Dosya Kimliği

SHA2560ccb8ac16a5b64cda0bce7baa106190667c1270991cd434a974d86facd191b9d
Dosya AdıREQNEWINQUIRY2026PDF. (nokta eki olmayan dosya — uzantı gizleme!)
TürJavaScript source (.js → JScript)
Boyut328 KB (büyük JS = gömülü payload)

Kurtarılan AES-CBC Anahtarı ve IV

ŞIFRE ÇÖZÜLDÜ: Sabit kodlu AES anahtarı ve IV statik analizde açığa çıktı!
AES-CBC Anahtarı (base64):
zral5sTyAJ6EJ4XJHkyB/9Mas7U3dnt6m9AamTkb6ls=
-- Decode: 32 byte → AES-256 anahtarı
-- "zral5sTy" - rastgele görünümlü alfanumerik (sözlük değil)

AES-CBC IV (base64):
ou1OB3BHxuPAynSPd6Kafg==
-- Decode: 16 byte → AES-CBC başlatma vektörü

-- Bu bilgilerle: JS içindeki şifreli base64 payload çözülebilir!
-- PowerShell AES çözücü zinciri:
  1. JS → base64 blob alır
  2. PowerShell'e iletir → AES-256-CBC ile çözer
  3. Çözülen payload → Invoke-Expression ile çalıştırır
-- Sabit kodlu anahtar: üretici şaşırtma yapmamış → zayıf OPSEC

terminateRelatedProcesses: Analiz Ortamı Tespiti ve Temizleme

function terminateRelatedProcesses() { ... }
taskkill /f /im wscript.exe
taskkill /f /im cscript.exe
-- İsimli fonksiyon: "ilgili prosesleri sonlandır"
-- wscript.exe/cscript.exe: rakip/eski JS instance'larını öldür
-- Bu fonksiyon sandbox evasion amacıyla çağrılabilir:
  - Analiz araçları WScript instance'larını çalıştırıyorsa → tespit
  - Çoklu çalışma önleme: eski instance kapanmadan yeni başlamaz

WMI Proses Kontrolü

SELECT * FROM Win32_Process
WHERE Name='powershell.exe' OR Name='pwsh.exe'
-- WMI sorgusu: PowerShell çalışıyor mu kontrol et
-- Sandbox/analiz tespiti: PowerShell sandbox içinde izleniyorsa tespit
-- Güvenlik araçları: PowerShell process hook'larını fark edebilir
-- Bu sorgu gerçek olarak çalışıyorsa: analiz ortamını tespit edip durabilir

Tam Yürütme Zinciri

ADODB.Stream            -- binary veri okuma/yazma (payload indirme/kaydetme)
WScript.Shell           -- komut çalıştırma
Scripting.FileSystemObject -- dosya sistemi (C:\Temp\ dizini oluştur/yaz)
MSXML2.DOMDocument.6.0  -- XML/HTTP işleme

1. JS çalıştırılır (double-click veya wscript.exe)
2. ADODB.Stream: AES şifreli base64 blobu belleğe alır
3. C:\Temp\ dizini oluşturulur (staging area)
4. PowerShell aşaması:
   powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File "..."
   → AES-256-CBC çözme → Invoke-Expression
5. Çözülen payload çalıştırılır (AsyncRAT veya benzer malware)

IOC

SHA2560ccb8ac16a5b64cda0bce7baa106190667c1270991cd434a974d86facd191b9d
AES-256 Keyzral5sTyAJ6EJ4XJHkyB/9Mas7U3dnt6m9AamTkb6ls=
AES-CBC IVou1OB3BHxuPAynSPd6Kafg==
StagingC:\Temp\

JSDropper — Malware Profile

JavaScript dropper. AES-256-CBC hardcoded key. terminateRelatedProcesses sandbox evasion. WMI PowerShell check. certutil decode chain. ADODB.Stream staging.

Malware Type
Loader
Programming Language
JavaScript
C2 Protocol
HTTP/HTTPS
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — JSDropper
# SHA256 0ccb8ac16a5b64cda0bce7baa106190667c1270991cd434a974d86facd191b9d
TypeValueNote
sha256 0ccb8ac16a5b64cda0bce7baa106190667c1270991cd434a974d86facd191b9d
Tags
jsdropperjs-dropperreqnewinquiry2026pdf-js-dropperaes-cbc-key-recovered-zral5stya-hardcodedaes-iv-ou1ob3bh-hardcodedterminaterelatedprocesses-sandbox-evasion-functiontaskkill-wscript-cscript-process-killcertutil-decode-powershell-aes-chainadodb-stream-wscript-shell-activexwmi-win32-process-powershell-checkexecutionpolicy-bypass-noprofile-hiddenc-temp-staging-directory