Manuel Statik Analiz — Tofsee Spambot | Tehdit: YUKSEK

Dosya Kimliği

SHA256ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1
Boyut78.336 byte (76KB) — minimal boyut!
String Sayisi546

C:\Users\Bruno\Desktop\file.exe: Geliştirici PDB

GELİŞTİRİCİ: "Bruno" + "file.exe" — en geçici isim!
C:\Users\Bruno\Desktop\file.exe
-- "Bruno" = İtalyan/Portekiz/Brezilya adı
-- "file.exe" = EN geçici build ismi (isim bile vermemiş!)
-- "Desktop\" = doğrudan masaüstünde çalışıyor
-- "file.exe": ikinci kez "file.exe" ismini kullanan geliştirici gördük
  - (LokiBot2'nin ISO'su içinde de "file" referansı)
-- Bruno: spambot operatörü masaüstünde test ederken göndermiş

NtQueryInformationToken: Token Yetki Kontrolü

NtQueryInformationToken
-- "InformationToken" = Windows erişim token'ı bilgisi
-- NT katmanı: admin/sistem ayrıcalığı kontrolü
-- Tofsee: spam göndermek için gerekli ayrıcalıkları kontrol eder
-- Yetki yoksa: hata döner veya UAC bypass dener

ESMTP + mx connect + "Too big smtp respons": Spam Protokolü

SPAM: Doğrudan SMTP ile spam gönderim!
ESMTP
Too big smtp respons (%d bytes)    -- YAZIM HATASI: "response" → "respons"!
Error sending command (sent = %d/%d)
mx connect
-- ESMTP = Extended Simple Mail Transfer Protocol
-- "mx connect" = MX (Mail eXchanger) kaydına doğrudan bağlantı
  - MX lookup: hedef e-posta sunucusunu doğrudan bulur (relay gerektirmez)
-- "Too big smtp respons" = TYPO! "response" değil "respons"
  - Geliştirici yazım hatası → İngilizce anadili olmayan geliştirici
  - Tanımlayıcı imza: bu typo Tofsee'nin tüm sürümlerinde bulunabilir
-- Tofsee: 250M+ spam/gün kapasitesi olan büyük spam ağı

IOC

SHA256ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1
PDBC:\Users\Bruno\Desktop\file.exe
Typo"Too big smtp respons" (karakteristik yazım hatası)

Tofsee — Malware Profile

Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.

Malware Type
Botnet
Programming Language
C++
C2 Protocol
TCP
Target Systems
Kuresel Email

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (1 indicators)

IOC — Tofsee
# SHA256 ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1
TypeValueNote
sha256 ec21a7eb3f763990280dfa0be8634c36365d3b3b5a5293b3c5a4f7d0e2b6c9f1
Tags
tofseespambotbruno-desktop-file-exe-pdbntqueryinformationtoken-privilege-checkesmtp-smtp-spammx-connect-mailservertoo-big-smtp-respons-typogettickcountcomp-anti-debug