Manuel Statik Analiz — NjRAT (Bladabindi) | Tehdit: MEDIO
Archivo Kimliği
| SHA256 | 858727d7d910a029988160b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Nombre de archivo | COTIZACION VANKARV.com.exe |
| Tamaño | 988.160 byte (988KB) |
| String Sayisi | 6.150 |
İspanyolca Fatura/Teklif Lure
COTIZACION VANKARV.com.exe -- COTIZACION = İspanyolca "fiyat teklifi" / "bütçe" -- VANKARV.com = sahte şirket adı (gerçekmiş gibi) -- .com.exe = Çift uzantı yanıltması! * Windows explorer'da gösterildiğinde: "COTIZACION VANKARV.com" * Gerçek uzantı: .exe (gizlenmiş) -- LATAM (Güney Amerika) kurumsal fatura e-postası lure -- "Gönderici: muhasebe@vankarv.com → Fiyat teklifimiz ekte"
NjRAT Hakkında
NjRAT (Bladabindi), 2013'te Orta Doğu'da ortaya çıkmış VB.NET RAT'tır. Kaynak kodu defalarca sızdı, düşük fiyatlı yeraltı forumlarında satılıyor. Propiedadleri: keylogger, webcam, ekran görüntüsü, USB yayılımı, HVNC. LATAM'da fatura/teklif lure'ları ile çok yaygın.
IOC
| SHA256 | 858727d7d910a029988160b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | COTIZACION VANKARV.com.exe (çift uzantı yanıltması) |
NjRAT3 — Perfil del malware
NjRAT Bladabindi VB.NET 2013. COTIZACION VANKARV.com.exe cift uzanti lure. LATAM fatura hedefleme. Keylogger+webcam+USB.
Tipo de malware
RAT
Lenguaje de programación
VB.NET
Protocolo C2
TCP
Sistemas objetivo
Orta Dogu/LATAM
Capacidades y comportamiento
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Lista IOC (2 indicadores)
IOC — NjRAT3
# DOMAIN
vankarv.com
# DOMAIN
vb.net
| Tipo | Valor | Nota |
|---|---|---|
| domain | vankarv.com | |
| domain | vb.net |