Manuel Statik Analiz — Tofsee | Tehdit: YUKSEK

Dosya Kimliği

SHA256ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Boyut78.336 byte (76KB — küçük spam botu)
String Sayisi546

Geliştirici: Bruno (Desktop/file.exe)

GELİŞTİRİCİ İZİ: PDB yolu açıkça görünüyor!
C:\Users\Bruno\Desktop\file.exe
-- Kullanıcı adı: "Bruno" (Portekizce/İtalyanca isim — muhtemelen Brezilyalı)
-- Dosya: "file.exe" = sıradan isim, geçici derleme
-- Desktop'ta derleme = hızlı geliştirme ortamı (test makinası)
-- NtQueryInformationToken = token privilege kontrol

SMTP Spam Botnet: mx connect error

SPAM BOTNET: Tofsee e-posta spam operasyonu!
mx connect error
-- MX = Mail Exchange kaydı (DNS MX record)
-- Tofsee: direkt MX sunucularına bağlanarak spam gönderir
-- Kurban ISP'den geçmeden → spam filtreleri daha zor yakalar
-- "mx connect error" = bağlantı hatası logu (hedef MX sunucusu kapalı)
Error sending command (sent = %d/%d)
-- SMTP EHLO/MAIL FROM/RCPT TO komutları gönderirken hata
-- "sent = %d/%d" = X komut gönderildi / Y toplam komut
-- Toplu e-posta gönderimi izleme ve loglama

IOC

SHA256ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
GeliştiriciBruno (C:\Users\Bruno\Desktop\file.exe)
YöntemDirekt MX sunucu SMTP spam botu

Tofsee — Malware Profile

Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.

Malware Type
Botnet
Programming Language
C++
C2 Protocol
TCP
Target Systems
Kuresel Email

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (1 indicators)

IOC — Tofsee
# SHA256 ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 ec21a7eb3f76399078336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 len=63
Tags
tofseebruno-pdb-developermx-connect-error-smtperror-sending-command-logspam-botnetntqueryinformationtokengettickcountcomp