Manuel Statik Analiz (LLM Okumali) — Gozi/ISFB Banking Trojan | Tehdit: YUKSEK

Файл Kimligi

SHA256c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f
Файл Adiatw3.dll
FormatPE DLL (yuksek entropi, paketlenmis)
String Sayisi776 (agir paketleme/sifreleme)

Paketleme Analizi

776 string, bu boyuttaki bir DLL icin oldukca dusuk. Gozi/ISFB, C2 adresleri ve web inject konfigürasyonunu runtime'da RC4 ile sifreli tutmaktadir. PageSetupDlgW / PageSetupDlgA Win32 print dialog sarmalayicilari gorulebilmektedir; bu banking trojanlarinda tipik bir yan etkidir.

Gozi/ISFB Hakkinda

Gozi (ISFB/Ursnif/DREAM olarak da bilinir), 2007 yilinda Rus underground piyasasinda ortaya cikan C tabanli bir banking trojanidır. Web inject, form grabbing, keylogging ve VNC modülleriyle online bankacilik oturum bilgilerini calarak kurbanin hesabindan transfer yapar. 2015 yilinda kaynak kodu sizintiyla GitHub'a dustu (ISFB). TA544, TA551 gibi gruplarla iliskilendirilmektedir.

IOC

SHA256c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f
FormatDLL (atw3.dll)
C2RC4 sifrelenmis (runtime)

Gozi — Профиль вредоносного ПО

Gozi ISFB Ursnif banking trojan. RegSaveKeyA registry dump. NotifyBootConfigStatus boot persistence.

Тип вредоносного ПО
Botnet
Язык программирования
C++
C2 Протокол
HTTP (RC4)
Целевые системы
Avrupa/Kuresel Finansal

Возможности и поведение

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

Список IOC (1 индикаторов)

IOC — Gozi
# SHA256 c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f
ТипЗначениеПримечание
sha256 c3b6be96582dc92249e78db51d0abe50e78b6cd3ab63a17e35a7b8d5a5c6e02f
Теги
goziisfbbanking-trojandllpaketlenmisform-grabberwebinject