Manuel Statik Analiz — SocGholish JavaScript Stager | Tehdit: YUKSEK

Dosya Kimliği

SHA2568f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2
Boyut262 byte — İnsan gözüyle okunabilir JS stager!
String Sayisi1 (tek URL)

Ele Geçirilmiş Web Sitesi — Seattle Mystery Lovers Kitabevi

Teknik: SocGholish meşru ve güvenilir web sitelerine enjekte ediliyor — kullanıcılar güvendikleri web sitelerini ziyaret ederek enfekte oluyor!
https://editions.seattlemysterylovers.com/I8l9JljrHk9H60cUFvxRBFHrRwRLqxNHRq4MU025Dkl
-- seattlemysterylovers.com = gerçek Seattle Mystery Lovers kitabevi
-- /editions/ alt dizininde zararlı JS enjekte edilmiş
-- Rastgele görünen URL yolu = gizlenmiş payload endpoint
-- 262 byte = minimal izlenimi bırakacak kadar küçük

SocGholish (FakeUpdates) Hakkında

SocGholish, TA569 tehdit aktörünün yönettiği drive-by download kampanyasıdır. Meşru web sitelerine zararlı JS enjekte eder ve kullanıcıya sahte "tarayıcı/yazılım güncellemesi" göstererek payload indirtir. WastedLocker ransomware ve BLISTER loader dağıtımında kullanılmıştır.

IOC

SHA2568f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2
C2editions.seattlemysterylovers.com (ele geçirilmiş)
AktörTA569 / FakeUpdates

SocGholish — Malware Profile

SocGholish FakeUpdates 2017. seattlemysterylovers.com ele gecirilmis kitabevi. 262 byte stager. CMS inject.

Malware Type
Loader
Programming Language
JavaScript
C2 Protocol
HTTPS
Target Systems
Kuresel Web Tarayıcı

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — SocGholish
# DOMAIN seattlemysterylovers.com
TypeValueNote
domain seattlemysterylovers.com

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
seattlemysterylovers.com domain 443 HTTPS active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
socgholishfakeupdates262-byte-stagerseattlemysteryloverscompromised-sitejavascript-loaderta569drive-by