Manuel Statik Analiz — IcedID (BazarLoader Семействоsi) | Tehdit: YUKSEK

Файл Kimliği

SHA25617014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Имя файлаinfo_IR-99661418.msi
Размер1.130.496 byte (MSI installer)
String Sayisi5.745

MSI Fatura Lure

info_IR-99661418.msi
-- "IR" = "Invoice Request" (fatura talebi)
-- "99661418" = sahte takip/sipariş numarası
-- .msi: Windows Installer (yönetici meşruiyeti)
-- Finansal departmanlara hedefli email

Guernsey TLD C2 Domain

NSABX.GG  -- .gg = Guernsey (İngiliz Kanal Adaları) TLD
-- "NSABX" = 5 büyük harf (rastgele DGA-benzeri)
-- .gg TLD: gamer topluluğu kaynaklı, az engellenir
-- IcedID'nin tercihli C2 iletişim yöntemi

IcedID Hakkında

IcedID (BokBot), 2017'de keşfedilen modüler banking trojan'ıdır. TrickBot ile ilişkilidir, Cobalt Strike ve ransomware yüklemek için loader olarak kullanılır. Process hollowing ve hooking ile tarayıcı trafiğini yakalar. 2022'de kaynak kodu sızdı.

IOC

SHA25617014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2NSABX.GG (.gg Guernsey TLD)
Lureinfo_IR-99661418.msi (fatura talebi)

IcedID2 — Профиль вредоносного ПО

IcedID BokBot banking trojan 2017. TrickBot ilişkili. Cobalt Strike loader. Process hollowing browser hook. NSABX.GG.

Тип вредоносного ПО
Backdoor
Язык программирования
C++
C2 Протокол
HTTPS
Целевые системы
Küresel Finans

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (1 индикаторов)

IOC — IcedID2
# DOMAIN nsabx.gg
ТипЗначениеПримечание
domain nsabx.gg

C2 Серверы (1 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
nsabx.gg domain 443 HTTPS inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
icedidinfo-ir-msi-lurensabx-ggguernsey-tldmsi-dropperinvoice-requestanti-debug