Manuel Statik Analiz — NovaStealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 9232953eea1b52744013142b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Request_For_Quotation_#9505ADC.jse (teklif formu JSE lürü!) |
| Boyut | 4.013.142 byte (3.8MB) |
| String Sayisi | 4.250 |
Versiyon: NovaStealer 3.6.19
VERSİYON:
// version: 3.6.19 -- NovaStealer'ın kendi sürüm numarası yorumda bırakılmış! -- "3.6.19" = major.minor.patch = aktif geliştirme -- Ocak veya Haziran 2019? Veya build numarası? -- Geliştiricinin unuttuğu yorum → sürüm takibi kolay
config:loaded: C2 Olay Dinleyicisi
C2 PROTOKOL: Konfigürasyon yükleme olayı!
v1788.on("config:loaded", function() { var v179[...]
-- "config:loaded" = C2'den konfigürasyon alındı olayı
-- EventEmitter pattern: v1788.on → dinleyici kaydet
-- Süreç: bağlan C2 → konfigürasyon al → "config:loaded" → stealer başlar
-- "v1788" = obfuscated EventEmitter nesnesi (sayısal isim)
Sayısal Obfuscation + HACK Yorumu
v1788.emit = function(v1789) { // HACK: check module exports
-- "HACK" = geliştiricinin kendi yorumu (hata ayıklama notu)
-- "check module exports" = CommonJS modül dışa aktarım kontrolü
-- v1789 = parametre de sayısal
-- Geliştirici: temizlemediği "HACK" yorumu bırakmış
#9505ADC.jse: Kodlanmış JScript Lürü
Request_For_Quotation_#9505ADC.jse -- ".jse" = JScript Encoded (Windows Script Host gömülü encoder) -- "#9505ADC" = hex-vari sahte belge numarası -- Standart JS'den farklı: .jse dosyaları doğrudan okunamaz -- wscript.exe .jse dosyasını decode edip çalıştırır
IOC
| SHA256 | 9232953eea1b52744013142b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Versiyon | 3.6.19 |
| Lure | Request_For_Quotation_#9505ADC.jse |
NovaStealer — Malware Profile
NovaStealer v3.6.19. Request_For_Quotation JSE lür. config:loaded C2 olay. HACK yorum. Sayisal obfuscation.
Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTP
Target Systems
Kuresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — NovaStealer
# SHA256
9232953eea1b52744013142b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 9232953eea1b52744013142b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |