Manuel Statik Analiz — Tofsee | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Boyut | 78.336 byte (76KB — küçük spam botu) |
| String Sayisi | 546 |
Geliştirici: Bruno (Desktop/file.exe)
GELİŞTİRİCİ İZİ: PDB yolu açıkça görünüyor!
C:\Users\Bruno\Desktop\file.exe -- Kullanıcı adı: "Bruno" (Portekizce/İtalyanca isim — muhtemelen Brezilyalı) -- Dosya: "file.exe" = sıradan isim, geçici derleme -- Desktop'ta derleme = hızlı geliştirme ortamı (test makinası) -- NtQueryInformationToken = token privilege kontrol
SMTP Spam Botnet: mx connect error
SPAM BOTNET: Tofsee e-posta spam operasyonu!
mx connect error -- MX = Mail Exchange kaydı (DNS MX record) -- Tofsee: direkt MX sunucularına bağlanarak spam gönderir -- Kurban ISP'den geçmeden → spam filtreleri daha zor yakalar -- "mx connect error" = bağlantı hatası logu (hedef MX sunucusu kapalı) Error sending command (sent = %d/%d) -- SMTP EHLO/MAIL FROM/RCPT TO komutları gönderirken hata -- "sent = %d/%d" = X komut gönderildi / Y toplam komut -- Toplu e-posta gönderimi izleme ve loglama
IOC
| SHA256 | ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Geliştirici | Bruno (C:\Users\Bruno\Desktop\file.exe) |
| Yöntem | Direkt MX sunucu SMTP spam botu |
Tofsee — Malware Profile
Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.
Malware Type
Botnet
Programming Language
C++
C2 Protocol
TCP
Target Systems
Kuresel Email
Capabilities & Behavior
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC List (1 indicators)
IOC — Tofsee
# SHA256
ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 | len=63 |