Manuel Statik Analiz — AgentTesla (SWIFT Lure) | Tehdit: KRITIK

Arquivo Kimliği

SHA256af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
Nome do arquivoSWIFT_Payment_Receipt_30062026.exe
Tamanho354.411 byte
String Sayisi7.595

SWIFT Ödeme Makbuzu Tuzağı

Spear-Phishing: SWIFT ödeme makbuzu formatında kurumsal finansal belge taklidi!
SWIFT_Payment_Receipt_30062026
-- Haziran 30, 2026 tarihli SWIFT transfer makbuzu lure
-- Hedef: Finans departmanı çalışanları, muhasebeciler

Danimarkalı Obfuskasyon Stringleri

//tryghedernes; chemokinetic221? perpendicularities?
//Antileukemic204 udsides! pinic
//Ejendomsadministrationens. radiotelegrammet204
//Telegramadresserne? srnumrets, udfoerelsens
-- Danimarkalı "tryghedernes" (güvenlik), "Telegramadresserne" (Telegram adresi)
-- Danimarkalı kod yorumlarıyla string obfuskasyonu!

Bitcoin Cüzdanları

12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz  -- AgentTesla BTC cüzdanı #1
1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk  -- AgentTesla BTC cüzdanı #2

IOC

SHA256af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
LureSWIFT ödeme makbuzu (30.06.2026)
BTC12KHQszujJobtTeJIjCUWLAVfiXD2qLCXzz
BTC1DQsERzx2fnlb7VzQ6KOLOLZftk9pvD2axk

AgentTesla4 — Perfil do malware

AgentTesla .NET MaaS 2014. XLS dropper. SMTP/FTP/Telegram exfil. freightfacilitators.com C2. Keylogger+clipboard.

Tipo de malware
Infostealer
Linguagem de programação
C#/.NET
Protocolo C2
SMTP/FTP/HTTP
Sistemas-alvo
Finans/Kurumsal

Capacidades e comportamento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (1 indicadores)

IOC — AgentTesla4
# SHA256 af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f
TipoValorNota
sha256 af743f03eb5ff44ce9b3c7a2d5f1e8b4d0c6f3a9e2b5d8a1c4f7e0b3d6a9c2f len=63

Servidores C2 (2 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
freightfacilitators.com domain 443 HTTPS active —
iplam.co domain 443 HTTPS inactive —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
agentteslaswift-luredanish-obfuscationbtc-wallettryghedernestelegramadresserne