Manuel Statik Analiz — ModiLoader (DBatLoader) | Tehdit: YUKSEK
Datei Kimliği
| SHA256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |
|---|---|
| Dateiname | flxfmg.exe |
| Größe | 407.040 byte |
| String Sayisi | 3.310 |
Şifreli C2 Config Fragmentleri
2'212;2C2I2W2r2 -- C2 config şifreli veri bloğu
1+2@2c2{2 -- C2 config fragmenti
222C2 -- C2 referansı
ModiLoader/DBatLoader Hakkında
ModiLoader (DBatLoader), 2022'den beri aktif Delphi tabanlı loader ailesidir. AgentTesla, FormBook, LokiBot, Remcos gibi bilgi hırsızlarını ve RAT'ları yüklemek için kullanılır. İş konulu e-posta (spear-phishing) ile dağıtılır. Bulut depolama (OneDrive, Google Drive) üzerinden payload indirme özelliği vardır.
IOC
| SHA256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |
|---|
ModiLoader — Malware-Profil
ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.
Malware-Typ
Loader
Programmiersprache
Delphi
C2-Protokoll
HTTP
Zielsysteme
Windows
Technische Details
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Fähigkeiten & Verhalten
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC-Liste (1 Indikatoren)
IOC — ModiLoader
# SHA256
b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |