Manuel Statik Analiz — STRRAT (JavaScript Dropper) | Tehdit: YUKSEK
Файл Kimliği
| SHA256 | 9d907d9016f2fb808494968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Имя файла | Request For Quotation(RFQ).js |
| Размер | 849.496 byte (849KB JS) |
| String Sayisi | 41 — 849KB içinde 41 string = maksimum gizleme! |
RFQ Tedarik Belgesi Lure
Hedef: Satın alma ve tedarik departmanı çalışanları!
Request For Quotation(RFQ).js -- "RFQ" = Request For Quotation (Fiyat Teklif Talebi) -- Tedarikçi firmalar düzenli RFQ belgeleri alır -- ".js" uzantısı görülmeyebilir (Windows uzantı gizleme) -- 849KB = büyük, ancak sadece 41 string → SIFIRLANAN OBFUSKASYONstring sayısı -- Tüm payload base64/eval/replace zinciri içinde gömülü
STRRAT Hakkında
STRRAT, 2020'de keşfedilen Java tabanlı RAT'tır (StrikePay RAT). .jar formatında çalışır, JavaScript veya MSI dropper ile gelir. Keylogger, uzak masaüstü, tarayıcı ve email credential çalma, .crimson dosya uzantısı taklit. MaaS olarak $80/ay satılıyor. Office belgeleri ile yayılıyor.
IOC
| SHA256 | 9d907d9016f2fb808494968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Request For Quotation(RFQ).js (849KB, 41 string) |
STRRAT — Профиль вредоносного ПО
STRRAT Java 2020 MaaS $80/ay. RFQ.js 849KB 41 string max obfuski. .crimson dosya uzantisi taklit. Office dropper.
Тип вредоносного ПО
RAT
Язык программирования
Java
C2 Протокол
TCP (1033/1234)
Целевые системы
Kuresel
Возможности и поведение
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Список IOC (1 индикаторов)
IOC — STRRAT
# SHA256
9d907d9016f2fb808494968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | 9d907d9016f2fb808494968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |