Manuel Statik Analiz — NovaStealer | Tehdit: YUKSEK

Dosya Kimliği

SHA2569232953eea1b52744013142b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıRequest_For_Quotation_#9505ADC.jse (teklif formu JSE lürü!)
Boyut4.013.142 byte (3.8MB)
String Sayisi4.250

Versiyon: NovaStealer 3.6.19

VERSİYON:
// version: 3.6.19
-- NovaStealer'ın kendi sürüm numarası yorumda bırakılmış!
-- "3.6.19" = major.minor.patch = aktif geliştirme
-- Ocak veya Haziran 2019? Veya build numarası?
-- Geliştiricinin unuttuğu yorum → sürüm takibi kolay

config:loaded: C2 Olay Dinleyicisi

C2 PROTOKOL: Konfigürasyon yükleme olayı!
v1788.on("config:loaded", function() { var v179[...]
-- "config:loaded" = C2'den konfigürasyon alındı olayı
-- EventEmitter pattern: v1788.on → dinleyici kaydet
-- Süreç: bağlan C2 → konfigürasyon al → "config:loaded" → stealer başlar
-- "v1788" = obfuscated EventEmitter nesnesi (sayısal isim)

Sayısal Obfuscation + HACK Yorumu

v1788.emit = function(v1789) { // HACK: check module exports
-- "HACK" = geliştiricinin kendi yorumu (hata ayıklama notu)
-- "check module exports" = CommonJS modül dışa aktarım kontrolü
-- v1789 = parametre de sayısal
-- Geliştirici: temizlemediği "HACK" yorumu bırakmış

#9505ADC.jse: Kodlanmış JScript Lürü

Request_For_Quotation_#9505ADC.jse
-- ".jse" = JScript Encoded (Windows Script Host gömülü encoder)
-- "#9505ADC" = hex-vari sahte belge numarası
-- Standart JS'den farklı: .jse dosyaları doğrudan okunamaz
-- wscript.exe .jse dosyasını decode edip çalıştırır

IOC

SHA2569232953eea1b52744013142b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Versiyon3.6.19
LureRequest_For_Quotation_#9505ADC.jse

NovaStealer — Malware Profile

NovaStealer v3.6.19. Request_For_Quotation JSE lür. config:loaded C2 olay. HACK yorum. Sayisal obfuscation.

Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTP
Target Systems
Kuresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — NovaStealer
# SHA256 9232953eea1b52744013142b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 9232953eea1b52744013142b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
novastealerversion-3-6-19request-for-quotation-9505adc-jse-lureconfig-loaded-c2-eventv1788-numeric-obfuscationhack-commentjse-dropperjscript-encoded