Manuel Statik Analiz — Tofsee Spambot | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1 |
|---|---|
| Boyut | 78.336 byte (76KB) — minimal boyut! |
| String Sayisi | 546 |
C:\Users\Bruno\Desktop\file.exe: Geliştirici PDB
GELİŞTİRİCİ: "Bruno" + "file.exe" — en geçici isim!
C:\Users\Bruno\Desktop\file.exe -- "Bruno" = İtalyan/Portekiz/Brezilya adı -- "file.exe" = EN geçici build ismi (isim bile vermemiş!) -- "Desktop\" = doğrudan masaüstünde çalışıyor -- "file.exe": ikinci kez "file.exe" ismini kullanan geliştirici gördük - (LokiBot2'nin ISO'su içinde de "file" referansı) -- Bruno: spambot operatörü masaüstünde test ederken göndermiş
NtQueryInformationToken: Token Yetki Kontrolü
NtQueryInformationToken -- "InformationToken" = Windows erişim token'ı bilgisi -- NT katmanı: admin/sistem ayrıcalığı kontrolü -- Tofsee: spam göndermek için gerekli ayrıcalıkları kontrol eder -- Yetki yoksa: hata döner veya UAC bypass dener
ESMTP + mx connect + "Too big smtp respons": Spam Protokolü
SPAM: Doğrudan SMTP ile spam gönderim!
ESMTP Too big smtp respons (%d bytes) -- YAZIM HATASI: "response" → "respons"! Error sending command (sent = %d/%d) mx connect -- ESMTP = Extended Simple Mail Transfer Protocol -- "mx connect" = MX (Mail eXchanger) kaydına doğrudan bağlantı - MX lookup: hedef e-posta sunucusunu doğrudan bulur (relay gerektirmez) -- "Too big smtp respons" = TYPO! "response" değil "respons" - Geliştirici yazım hatası → İngilizce anadili olmayan geliştirici - Tanımlayıcı imza: bu typo Tofsee'nin tüm sürümlerinde bulunabilir -- Tofsee: 250M+ spam/gün kapasitesi olan büyük spam ağı
IOC
| SHA256 | ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1 |
|---|---|
| PDB | C:\Users\Bruno\Desktop\file.exe |
| Typo | "Too big smtp respons" (karakteristik yazım hatası) |
Tofsee — Malware Profile
Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.
Malware Type
Botnet
Programming Language
C++
C2 Protocol
TCP
Target Systems
Kuresel Email
Capabilities & Behavior
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC List (1 indicators)
IOC — Tofsee
# SHA256
ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1
| Type | Value | Note |
|---|---|---|
| sha256 | ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1 |