Manuel Statik Analiz — ZLoader (Banking Trojan) | Tehdit: YUKSEK
Archivo Kimliği
| SHA256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Nombre de archivo | HexaPort.dll (→ payload PE) |
| Tamaño | 526.848 byte (526KB) |
| String Sayisi | 2.263 |
HexaPort: Özel DLL İsmi
HexaPort.dll -- "Hexa" = altı (hex) → hexadecimal? port 6? -- "Port" = ağ portu veya DLL export port noktaları -- Özel isim DLL: Windows sistem DLL'i gibi görünmek amaçlı değil -- ZLoader bu DLL'i süreç inject yoluyla çalıştırıyor
{INJECTDATA} Web Inject Şablonu
Banking Web Inject: ZLoader'ın imza tekniği!
{INJECTDATA}
-- ZLoader'ın web inject konfigürasyon şablonu!
-- Çalışma zamanında {INJECTDATA} içeriği doldurulur:
→ Hedef banka siteleri (URL listesi)
→ Enjekte edilecek HTML/JS kodu
→ Sahte giriş formu / OTP interception kodu
-- Browser hook: site yüklendiğinde şablondaki HTML enjekte edilir
-- Kullanıcı gerçek bankayı ziyaret ediyor ama sahte alan görüyor
-- ZLoader hedef bankaları: 2022 Microsoft/CISA ortak operasyon sonucu C2 altyapısı yıkıldı (faaliyetler 2024'te yeniden başladı)
IOC
| SHA256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Inject Template | {INJECTDATA} (web inject şablonu) |
| DLL | HexaPort.dll |
Zloader3 — Perfil del malware
ZLoader banking trojan. HexaPort.dll {INJECTDATA} web inject. Browser hook banka sitesi modify. Microsoft CISA 2022 disruption.
Tipo de malware
Botnet
Lenguaje de programación
C++
Protocolo C2
HTTPS
Sistemas objetivo
Bankacılık
Capacidades y comportamiento
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
Lista IOC (1 indicadores)
IOC — Zloader3
# SHA256
a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |