Manuel Statik Analiz — MassLogger JS Yükleyici | Tehdit: YUKSEK

Dosya Kimliği

SHA256b6a2638a0eaedd601916306b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıPT2600000043.js ("PT" = Portekiz, sahte fatura numarası)
Boyut1.916.306 byte (1.8MB)
String Sayisi2.292

PT2600000043.js: Fatura Lürü

SOSYAL MÜHENDİSLİK:
PT2600000043.js
-- "PT" = Portekiz ülke kodu (Portugal)
-- "2600000043" = sahte fatura/sipariş numarası
-- ".js" = JavaScript dosyası
-- Kurbana e-posta ile gönderilir: "Faturanız ektedir"
-- JS → Windows Script Host (wscript.exe) ile çalıştırılır

Yapılandırma Dağıtım Yorumu

C2 PROTOKOL İZİ: Yorumda gizlenmiş teknik detay!
} // dispatch configuration data
  // aggregate and normalize retry logic
-- Obfuscated JavaScript ama yorumlar bırakılmış!
-- "dispatch configuration data" = konfigürasyon verisi gönder
-- "aggregate and normalize retry logic" = yeniden deneme mantığı
-- C2 iletişim mimarisi: retry + config dispatch sistemi var

CommonJS Modül Yapısı

} else if (typeof module === 'object' && module.exports) {
    module.exports = v2469
}
-- CommonJS modül dışa aktarımı (Node.js uyumlu)
-- "v2469" = obfuscated değişken adı (sayısal — AgentTesla3 ile aynı teknik)
-- 1.8MB JS dosyası = ağır obfuscation + embedded payload

IOC

SHA256b6a2638a0eaedd601916306b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LurePT2600000043.js (Portekiz fatura)

MassLogger — Malware Profile

MassLogger credential stealer. PT2600000043.js Portekiz fatura lurü. CommonJS obfuscation. dispatch configuration data.

Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
SMTP/FTP
Target Systems
Windows

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — MassLogger
# SHA256 b6a2638a0eaedd601916306b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 b6a2638a0eaedd601916306b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
massloggerpt2600000043-js-invoice-luredispatch-configuration-data-commentaggregate-normalize-retrycommonjs-v2469-modulejs-loader