Manuel Statik Analiz — Remcos | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | SCAN DOC LOI.r00 (Fransızca kanun belgesi taraması) |
| Boyut | 1.295.510 byte (1.3MB — bölünmüş RAR part 1) |
| String Sayisi | 6.102 |
Fransızca Hukuk Belgesi Lure
SCAN DOC LOI.r00 -- SCAN = taranmış belge izlenimi -- DOC = document (belge) -- LOI = Fransızca "kanun/yasa" (Loi = Law) -- .r00 = RAR multi-volume arsiv BIRINCI parcasi -- Kurban ".r00" uzantısını bilmeyebilir (RAR part formatı) -- "Yasal belge taraması" kurumsal hukuk personelini hedefler -- Frankofonları hedef: Fransa, Belçika, Kanada, Afrika frankofon
.r00 Çok Parçalı RAR Tekniği
.r00 .r01 .r02 ... = RAR split archive (bölünmüş arşiv) -- Her parça bağımsız e-posta ile gönderilebilir -- Tüm parçalar birarada olmadan tam payload çalışmaz -- Her parça tek başına AV taramasını atlar -- .r00 uzantısı az bilinen → kullanıcı dosyayı açmakta dura
IOC
| SHA256 | 3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | SCAN DOC LOI.r00 (Fransızca kanun belgesi) |
Remcos3 — Malware Profile
Remcos Breaking-Security 2017. SCAN DOC LOI.r00 Fransizca kanun belge lure. Cok parcali RAR .r00 dropper. Frankofon hedef.
Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP
Target Systems
Frankofon/Avrupa
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — Remcos3
# SHA256
3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |