Manuel Statik Analiz — Tofsee Spam Botnet | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | ec21a7eb3f763990280dfa0be8634cxx3b5a52933cd2dcf90038755aa2e1b4f |
|---|---|
| Boyut | 78.336 byte (küçük spam gönderici) |
| String Sayisi | 546 |
Spam Hedefleri
mail.ru -- Rus e-posta platformu (hedef/spam relay) yahoo.com -- Yahoo Mail (spam dağıtım hedefi)
Geliştirici İpucu — Bruno
PDB: Geliştirici "Bruno" adlı kişi dosyayı doğrudan masaüstünde derlemiş!
C:\Users\Bruno\Desktop\file.exe -- Geliştirici: "Bruno" (muhtemelen Portekizce konuşan) -- Masaüstünde "file.exe" adıyla derleme (acemi işareti?)
Anti-Debug
NtQueryInformationToken -- Token erişim kontrolü (sandbox tespit) GetTickCount -- Timing anti-debug
Tofsee Hakkında
Tofsee (Gheg/Cutwail), 2013'ten beri aktif spam botnetidir. Kripto para dolandırıcılığı, phishing ve malware dağıtımı için toplu e-posta göndermede kullanılır. Çift katmanlı şifreleme ve P2P ağ mimarisi kullanır. Bitcoin mining modülü de barındırır.
IOC
| SHA256 | ec21a7eb3f763990280dfa0be8634cxx3b5a52933cd2dcf90038755aa2e1b4f |
|---|---|
| PDB | C:\\Users\\Bruno\\Desktop\\file.exe |
| Spam Hedef | mail.ru, yahoo.com |
Tofsee — Malware Profile
Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.
Malware Type
Botnet
Programming Language
C++
C2 Protocol
TCP
Target Systems
Kuresel Email
Capabilities & Behavior
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC List (2 indicators)
IOC — Tofsee
# DOMAIN
mail.ru
# DOMAIN
yahoo.com
| Type | Value | Note |
|---|---|---|
| domain | mail.ru | |
| domain | yahoo.com |