Manuel Statik Analiz — NjRAT (Bladabindi) | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 858727d7d910a029988160b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | COTIZACION VANKARV.com.exe |
| Boyut | 988.160 byte (988KB) |
| String Sayisi | 6.150 |
İspanyolca Fatura/Teklif Lure
COTIZACION VANKARV.com.exe -- COTIZACION = İspanyolca "fiyat teklifi" / "bütçe" -- VANKARV.com = sahte şirket adı (gerçekmiş gibi) -- .com.exe = Çift uzantı yanıltması! * Windows explorer'da gösterildiğinde: "COTIZACION VANKARV.com" * Gerçek uzantı: .exe (gizlenmiş) -- LATAM (Güney Amerika) kurumsal fatura e-postası lure -- "Gönderici: muhasebe@vankarv.com → Fiyat teklifimiz ekte"
NjRAT Hakkında
NjRAT (Bladabindi), 2013'te Orta Doğu'da ortaya çıkmış VB.NET RAT'tır. Kaynak kodu defalarca sızdı, düşük fiyatlı yeraltı forumlarında satılıyor. Özellikleri: keylogger, webcam, ekran görüntüsü, USB yayılımı, HVNC. LATAM'da fatura/teklif lure'ları ile çok yaygın.
IOC
| SHA256 | 858727d7d910a029988160b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | COTIZACION VANKARV.com.exe (çift uzantı yanıltması) |
NjRAT3 — Malware Profile
NjRAT Bladabindi VB.NET 2013. COTIZACION VANKARV.com.exe cift uzanti lure. LATAM fatura hedefleme. Keylogger+webcam+USB.
Malware Type
RAT
Programming Language
VB.NET
C2 Protocol
TCP
Target Systems
Orta Dogu/LATAM
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (2 indicators)
IOC — NjRAT3
# DOMAIN
vankarv.com
# DOMAIN
vb.net
| Type | Value | Note |
|---|---|---|
| domain | vankarv.com | |
| domain | vb.net |