AgentTesla — Deep Static Analysis (bc4b5891)

Сводка по угрозе
СемействоAgentTesla
Уровень угрозыВЫСОКИЙ
Platform.NET Framework (C#)
PackerTespit edilmedi
SHA256bc4b5891b1294dac280e9c24e2f63b86...
Первое обнаружение2026-06-29
Метод обнаруженияMalwareBazaar + Совпадение сигнатуры
ДостоверностьMEDIUM

Информация о файле

СвойствоЗначение
SHA256bc4b5891b1294dac280e9c24e2f63b8659d5703d28b7ffa459940b266f00b822
MD521880c0ba2b22b64426bdc1db714d2c8
SHA1f22aa32da4c1b64c15312009ddcb7dc6bf3e3cdb
Имя файлаSWIFT_Payment_Receipt_26062026.exe
Размер438,141 bytes
Архитектураx86
Дата компиляцииНеизвестно
PackerTespit edilmedi
MB первое обнаружение2026-06-29
Метки MBexe, AgentTesla, signed

Профиль угрозы

Семейство: AgentTesla   Классификация: ВЫСОКИЙ   Достоверность: MEDIUM

AgentTesla, .NET tabanlı gelişmiş bir keylogger/infostealer ailesidir. SWIFT ödeme bildirimi temalı phishing ile hedeflere ulaşmaktadır. Tarayıcı şifreleri, e-posta kimlik bilgileri ve FTP hesaplarını çalarak SMTP üzerinden saldırgana iletmektedir. Bu örnek imzalı görünmekle birlikte dijital imzanın geçerliliği şüphelidir. C2 iletişimi SMTP protokolü üzerinden yapılmakta olup statik analizde plaintext kimlik bilgisi tespit edilememiştir (şifreli config).

Обнаруженные возможности

  • Keylogger (GetAsyncKeyState/SetWindowsHookEx)
  • Screenshot alma
  • Tarayıcı şifre çalma (Chrome, Firefox, Edge)
  • E-posta client credential theft (Outlook, Thunderbird)
  • FTP client credential theft (FileZilla, WinSCP)
  • SMTP ile veri sızdırma
  • Clipboard Monitor
  • Webcam Capture

Anti-Analiz Teknikleri

  • Anti-Debug kontrolleri
  • .NET obfuscation

Kalıcılık Mekanizmaları

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SmtpAgt

Enjeksiyon Teknikleri

  • Process Injection

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

TipЗначение
sha256bc4b5891b1294dac280e9c24e2f63b8659d5703d28b7ffa459940b266f00b822
md521880c0ba2b22b64426bdc1db714d2c8
domaincacerts.digicert.com
domaincrl3.digicert.com
domainMicrosoft.Windows.Com
domainnsis.sf.net
domainocsp.digicert.com
domainwww.digicert.com
emailUdlndingeloven@Multilayer.Kr

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

AgentTesla — Профиль вредоносного ПО

AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.

Тип вредоносного ПО
Infostealer
Язык программирования
.NET
C2 Протокол
SMTP/FTP
Целевые системы
Windows
Другие названия (AKA)
Agent Tesla

Технические детали

C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot

Атрибуция / Актор угрозы

Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.

Возможности и поведение

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Список IOC (2 индикаторов)

IOC — AgentTesla
# SHA256 bc4b5891b1294dac280e9c24e2f63b8659d5703d28b7ffa459940b266f00b822 # MD5 21880c0ba2b22b64426bdc1db714d2c8
ТипЗначениеПримечание
sha256 bc4b5891b1294dac280e9c24e2f63b8659d5703d28b7ffa459940b266f00b822
md5 21880c0ba2b22b64426bdc1db714d2c8

C2 Серверы (8 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
digicert.com domain — TCP active —
stem.ru domain — TCP active —
digicert.com domain — TCP active —
dublincore.org domain — TCP active —
googleapis.com domain — TCP active —
microsoft.com domain — TCP active —
freightfacilitators.com domain — TCP active —
digicert.com domain — TCP active —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
agentteslainfostealerkeyloggersmtppeanalizstatikioc