Manuel Statik Analiz — NjRAT (Bladabindi) | Tehdit: ORTA

Dosya Kimliği

SHA256858727d7d910a029988160b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıCOTIZACION VANKARV.com.exe
Boyut988.160 byte (988KB)
String Sayisi6.150

İspanyolca Fatura/Teklif Lure

COTIZACION VANKARV.com.exe
-- COTIZACION = İspanyolca "fiyat teklifi" / "bütçe"
-- VANKARV.com = sahte şirket adı (gerçekmiş gibi)
-- .com.exe = Çift uzantı yanıltması!
  * Windows explorer'da gösterildiğinde: "COTIZACION VANKARV.com"
  * Gerçek uzantı: .exe (gizlenmiş)
-- LATAM (Güney Amerika) kurumsal fatura e-postası lure
-- "Gönderici: muhasebe@vankarv.com → Fiyat teklifimiz ekte"

NjRAT Hakkında

NjRAT (Bladabindi), 2013'te Orta Doğu'da ortaya çıkmış VB.NET RAT'tır. Kaynak kodu defalarca sızdı, düşük fiyatlı yeraltı forumlarında satılıyor. Özellikleri: keylogger, webcam, ekran görüntüsü, USB yayılımı, HVNC. LATAM'da fatura/teklif lure'ları ile çok yaygın.

IOC

SHA256858727d7d910a029988160b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureCOTIZACION VANKARV.com.exe (çift uzantı yanıltması)

NjRAT3 — Malware Profile

NjRAT Bladabindi VB.NET 2013. COTIZACION VANKARV.com.exe cift uzanti lure. LATAM fatura hedefleme. Keylogger+webcam+USB.

Malware Type
RAT
Programming Language
VB.NET
C2 Protocol
TCP
Target Systems
Orta Dogu/LATAM

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (2 indicators)

IOC — NjRAT3
# DOMAIN vankarv.com # DOMAIN vb.net
TypeValueNote
domain vankarv.com
domain vb.net
Tags
njratcotizacion-vankarv-com-exefake-company-invoiceexe-embedded-in-company-namelatam-targetingspanish-invoice-lure