Manuel Statik Analiz — ZLoader (Banking Trojan) | Tehdit: YUKSEK
文件 Kimliği
| SHA256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 文件名 | HexaPort.dll (→ payload PE) |
| 大小 | 526.848 byte (526KB) |
| String Sayisi | 2.263 |
HexaPort: Özel DLL İsmi
HexaPort.dll -- "Hexa" = altı (hex) → hexadecimal? port 6? -- "Port" = ağ portu veya DLL export port noktaları -- Özel isim DLL: Windows sistem DLL'i gibi görünmek amaçlı değil -- ZLoader bu DLL'i süreç inject yoluyla çalıştırıyor
{INJECTDATA} Web Inject Şablonu
Banking Web Inject: ZLoader'ın imza tekniği!
{INJECTDATA}
-- ZLoader'ın web inject konfigürasyon şablonu!
-- Çalışma zamanında {INJECTDATA} içeriği doldurulur:
→ Hedef banka siteleri (URL listesi)
→ Enjekte edilecek HTML/JS kodu
→ Sahte giriş formu / OTP interception kodu
-- Browser hook: site yüklendiğinde şablondaki HTML enjekte edilir
-- Kullanıcı gerçek bankayı ziyaret ediyor ama sahte alan görüyor
-- ZLoader hedef bankaları: 2022 Microsoft/CISA ortak operasyon sonucu C2 altyapısı yıkıldı (faaliyetler 2024'te yeniden başladı)
IOC
| SHA256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Inject Template | {INJECTDATA} (web inject şablonu) |
| DLL | HexaPort.dll |
Zloader3 — 恶意软件档案
ZLoader banking trojan. HexaPort.dll {INJECTDATA} web inject. Browser hook banka sitesi modify. Microsoft CISA 2022 disruption.
恶意软件类型
Botnet
编程语言
C++
C2协议
HTTPS
目标系统
Bankacılık
能力与行为
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC列表 (1 个指标)
IOC — Zloader3
# SHA256
a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |