Manuel Statik Analiz — RecordBreaker (Raccoon Stealer v2) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | aa2cae824c23fc151693696b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | file → PE payload |
| Boyut | 1.693.696 byte (1.7MB) |
| String Sayisi | 11.452 |
PDB Yolu: "press" Geliştirici Kullanıcı Adı
Geliştirici Tespiti: press kullanıcı adı!
C:\Users\press\AppData\Local\Temp\Report.A66214F7-6635-4084-8609-050NK772EXE\obj\Debug\
-- Geliştirici kullanıcı adı: "press"
-- "Report.{GUID}EXE" = kötü amaçlı binary build temp klasörü
-- "A66214F7-6635-4084-8609-050NK772EXE" = GUID + "NK772EXE" etiket
-- "obj\Debug\" = Visual Studio Debug build (release değil!)
-- Geliştiricinin build ortamı: Windows + Visual Studio
-- "050NK772EXE" = sürüm kodu / build identifier
Şifreleme Anahtarı: LUWKTVNBABYKEYXOEQJLDVKGWJYYXUU
Config Anahtarı Tespiti!
LUWKTVNBABYKEYXOEQJLDVKGWJYYXUU -- 32 büyük harf karakter (256-bit key bloğu) -- İçinde "BABYKEY" belirteç: LUWKTVNBABYKEYXOEQJLDVKGWJYYXUU -- "BABYKEY" = RecordBreaker konfigürasyon imzası veya XOR anahtarı -- 32 harf = AES-256 veya RC4 key uzunluğu -- Raccoon v2 (RecordBreaker) config şifreleme için kullanılıyor olabilir
RecordBreaker / Raccoon Stealer v2 Hakkında
Raccoon Stealer v2 (RecordBreaker) 2022'de Raccoon v1'in yaratıcılarının tutuklanmasından sonra ortaya çıktı. Tarayıcı şifreleri, kripto cüzdanları, FTP credentials, email hesapları hedef alır. C++ ile yazılmış. $275/hafta MaaS olarak satılmaktaydı (RaaS model). "press" geliştirici adı daha önce çeşitli analizlerde de görülmüştür.
IOC
| SHA256 | aa2cae824c23fc151693696b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| PDB | C:\Users\press\AppData\Local\Temp\Report.A66214F7-...\obj\Debug\ |
| Config Key | LUWKTVNBABYKEYXOEQJLDVKGWJYYXUU (32-char) |
RecordBreaker2 — Malware Profile
RecordBreaker Raccoon Stealer v2 2022. press gelistirici. LUWKTVNBABYKEYXOEQJLD config key. Browser + crypto + FTP.
Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — RecordBreaker2
# SHA256
aa2cae824c23fc151693696b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | aa2cae824c23fc151693696b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |