Manuel Statik Analiz — AgentTesla (SWIFT Lure) | Tehdit: KRITIK

Файл Kimliği

SHA256af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
Имя файлаSWIFT_Payment_Receipt_30062026.exe
Размер354.411 byte
String Sayisi7.595

SWIFT Ödeme Makbuzu Tuzağı

Spear-Phishing: SWIFT ödeme makbuzu formatında kurumsal finansal belge taklidi!
SWIFT_Payment_Receipt_30062026
-- Haziran 30, 2026 tarihli SWIFT transfer makbuzu lure
-- Hedef: Finans departmanı çalışanları, muhasebeciler

Danimarkalı Obfuskasyon Stringleri

//tryghedernes; chemokinetic221? perpendicularities?
//Antileukemic204 udsides! pinic
//Ejendomsadministrationens. radiotelegrammet204
//Telegramadresserne? srnumrets, udfoerelsens
-- Danimarkalı "tryghedernes" (güvenlik), "Telegramadresserne" (Telegram adresi)
-- Danimarkalı kod yorumlarıyla string obfuskasyonu!

Bitcoin Cüzdanları

12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz  -- AgentTesla BTC cüzdanı #1
1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk  -- AgentTesla BTC cüzdanı #2

IOC

SHA256af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
LureSWIFT ödeme makbuzu (30.06.2026)
BTC12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz
BTC1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk

AgentTesla4 — Профиль вредоносного ПО

AgentTesla .NET MaaS 2014. XLS dropper. SMTP/FTP/Telegram exfil. freightfacilitators.com C2. Keylogger+clipboard.

Тип вредоносного ПО
Infostealer
Язык программирования
C#/.NET
C2 Протокол
SMTP/FTP/HTTP
Целевые системы
Finans/Kurumsal

Возможности и поведение

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Список IOC (1 индикаторов)

IOC — AgentTesla4
# SHA256 af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
ТипЗначениеПримечание
sha256 af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f len=63

C2 Серверы (2 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
freightfacilitators.com domain 443 HTTPS active —
iplam.co domain 443 HTTPS inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
agentteslaswift-luredanish-obfuscationbtc-wallettryghedernestelegramadresserne