Manuel Statik Analiz — Raccoon Stealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | ProtonVPN.exe (ProtonVPN gizlilik VPN taklidi!) |
| Boyut | 1.324.336 byte (1.3MB) |
| String Sayisi | 1.699 |
ProtonVPN Gizlilik VPN Taklidi
Hedef Profil: Gizlilik bilinçli kullanıcılar — gazeteciler, aktivistler, araştırmacı gazeteciler!
ProtonVPN.exe -- ProtonVPN = İsviçre merkezli gizlilik odaklı VPN (Proton AG) -- Hedef: gizlilik bilinçli, güvenliğe önem veren kullanıcılar -- ProtonVPN'i indiren kişi zaten güvenlik farkındası → ama sahte ProtonVPN.exe'yi çalıştırıyor! -- İroni: gizlilik için VPN indiriyor, stealer bulaşıyor -- Gazeteciler, muhalefet üyeleri, aktivistler hedef alınıyor
RaccoonStealer V2 Hakkında
Raccoon Stealer 2022'de yeniden başlatılan (V1 2019) info stealer'dır. C ile yazılmış, MaaS (Malware-as-a-Service) modeli ile $200/ay. Tarayıcı parolası, kripto cüzdan, kredi kartı, e-posta, FTP, Discord/Steam token çalmaya odaklanır. Telegram C2 ve web panel desteği.
IOC
| SHA256 | 7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | ProtonVPN.exe (Proton AG VPN taklidi) |
Raccoon2 — Malware Profile
Raccoon Stealer V2 C 2022 MaaS 200 dolar/ay. ProtonVPN.exe gizlilik VPN lure. Tarayici parola/kripto/kredi kart. Telegram C2.
Malware Type
Infostealer
Programming Language
Delphi
C2 Protocol
HTTPS
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — Raccoon2
# SHA256
7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |