Derin Analiz - TiGeR-Firewall Brazilian Banking Trojan | Tehdit: YUKSEK

Dosya Kimligi

SHA25639cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
Boyut95,232 byte (93 KB) PE32 GUI x86 .NET
Entropi5.57 (normal)
Section2 section (cok dusuk - tek segment)

TiGeR-Firewall Markasi

BRAZILIAN BANKING TROJAN: TiGeR-Firewall - Brezilya kokenli bankacilik Trojan ailesi imzasi!
TiGeR-Firewall   <- Brezilya bankacilik trojan ailesi marker'i\nLORDDecrypt      <- ozel sifreli gizleme fonksiyonu (LORD=Brezilya gruplar)\nUmbrella.flv.exe <- .flv medya dosyasi olarak gizlenmis indirilen yukleyici

Gizleme ve Kacis Teknikleri

MD5CryptoServiceProvider + FromBase64String / ToBase64String\n  -> LORDDecrypt fonksiyonu ile Base64+MD5 gizleme\n\nFirewall Manipulasyonu:\n  netsh firewall add allowedprogram "..."  <- kendini izin verilenler listesine ekle\n  netsh firewall delete allowedprogram "..." <- temizleme (iz silme)\n  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\...\n  -> Registry ile Windows Firewall durumu okuma/yazma

Yetenekler

avicap32.dll     <- webcam erisimi (video yakalama modulu)\nAdobe Update     <- sahte guncelleme maskesi (sosyal muhendislik)\nDownloadFile / DownloadData  <- ikincil yukleyici indirme\nwinmm.dll        <- multimedia API (ses yakalama)\nClipboardProxy   <- pano izleme (kripto adres degistirme?)\nSendMessage      <- belki diger proses ile iletisim veya UI kontrol

IOC

SHA25639cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
AileTiGeR-Firewall (Brezilya Banking Trojan)
GizlemeLORDDecrypt (Base64+MD5)
DroppedUmbrella.flv.exe (sahte FLV medya)
YeteneklerWebcam (avicap32), Clipboard, Firewall bypass

TiGeRFirewall — Malware Profile

Brezilya kokenli bankacilik Trojani. TiGeR-Firewall marker ile tanimlanan, LORD grubunun LORDDecrypt sifrelemesini kullanan .NET malware. Sahte Adobe Update maskesi, Umbrella.flv.exe dropper, netsh firewall manipulasyonu, avicap32.dll ile webcam, ClipboardProxy ile pano izleme yeteneklerine sahiptir.

Malware Type
Backdoor
Programming Language
C#/.NET
C2 Protocol
custom
Target Systems
Brezilya/Latin Amerika

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — TiGeRFirewall
# SHA256 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
TypeValueNote
sha256 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
Tags
tiger-firewall-brazilian-banking-trojanlorddecrypt-base64-md5-obfuscationumbrella-flv-exe-fake-media-droppernetsh-firewall-allowedprogram-bypassavicap32-dll-webcam-captureadobe-update-social-engineering-disguiseclipboard-proxy-crypto-stealerlord-group-brazilian-cybercrimemd5-cryptoserviceprovider-obfuscationwinmm-dll-audio-capturedownload-file-secondary-payloadfirewall-registry-manipulation