Manuel Statik Analiz — MassLogger JS Yükleyici | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | b6a2638a0eaedd601916306b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | PT2600000043.js ("PT" = Portekiz, sahte fatura numarası) |
| Boyut | 1.916.306 byte (1.8MB) |
| String Sayisi | 2.292 |
PT2600000043.js: Fatura Lürü
SOSYAL MÜHENDİSLİK:
PT2600000043.js -- "PT" = Portekiz ülke kodu (Portugal) -- "2600000043" = sahte fatura/sipariş numarası -- ".js" = JavaScript dosyası -- Kurbana e-posta ile gönderilir: "Faturanız ektedir" -- JS → Windows Script Host (wscript.exe) ile çalıştırılır
Yapılandırma Dağıtım Yorumu
C2 PROTOKOL İZİ: Yorumda gizlenmiş teknik detay!
} // dispatch configuration data // aggregate and normalize retry logic -- Obfuscated JavaScript ama yorumlar bırakılmış! -- "dispatch configuration data" = konfigürasyon verisi gönder -- "aggregate and normalize retry logic" = yeniden deneme mantığı -- C2 iletişim mimarisi: retry + config dispatch sistemi var
CommonJS Modül Yapısı
} else if (typeof module === 'object' && module.exports) {
module.exports = v2469
}
-- CommonJS modül dışa aktarımı (Node.js uyumlu)
-- "v2469" = obfuscated değişken adı (sayısal — AgentTesla3 ile aynı teknik)
-- 1.8MB JS dosyası = ağır obfuscation + embedded payload
IOC
| SHA256 | b6a2638a0eaedd601916306b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | PT2600000043.js (Portekiz fatura) |
MassLogger — Malware Profile
MassLogger credential stealer. PT2600000043.js Portekiz fatura lurü. CommonJS obfuscation. dispatch configuration data.
Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
SMTP/FTP
Target Systems
Windows
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — MassLogger
# SHA256
b6a2638a0eaedd601916306b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | b6a2638a0eaedd601916306b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |