哈希 / 信息
SHA256df544bca0809572ff2f98f9c004b31f3fc7dbe9d9ee9aef34308c26d73c9742d
MD566ae3ac92c080265160dd55ad87cd972
SHA15502aec5504c1479640cd1d44c827b316589683d
ImpHashfcf1390e9ce472c7270447fc5c61a0c1
文件 AdiCity_car_driving_Home_Edition_keygen_by_KeygenSumo.exe
文件类型exe
大小6,011,500 bytes
首次发现2021-08-11

Tehdit 值lendirmesi

Bu ornek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kisisel verileri toplayan bir bilgi hırsızı (infostealer) olarak siniflandirilmistir. Tarayici kayitli parolalar, cerezler, kripto para cüzdani verileri ve oturum tokenlari birincil hedefleridir.

检测到的功能

  • Tarayici Kimlik Bilgileri
  • Cerez Hirsizligi
  • Kripto Cüzdan
  • 2FA Kodu
  • Sistem Bilgisi

MalwareBazaar 标签

AZORultEvasionexePonyRaccoonRAT

分析说明

Bu ornek Raccoon ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

Raccoon — 恶意软件档案

Raccoon Stealer credential hırsızı. ProtonVPN gizleme. Telegram C2 destegi. Browser/kripto cüzdan hedef.

恶意软件类型
Infostealer
编程语言
C++
C2协议
HTTP
目标系统
Windows
别名 (AKA)
RecordBreaker

技术细节

C++/C, HTTP/HTTPS C2, SQLite credential extraction (browser login data), browser history/autofill, kripto wallet stealer (Ethereum/Bitcoin), email client stealer, custom stealer panel (PHP), fingerprint (HWID/IP)

能力与行为

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC列表 (2 个指标)

IOC — Raccoon
# SHA256 df544bca0809572ff2f98f9c004b31f3fc7dbe9d9ee9aef34308c26d73c9742d # MD5 66ae3ac92c080265160dd55ad87cd972
类型备注
sha256 df544bca0809572ff2f98f9c004b31f3fc7dbe9d9ee9aef34308c26d73c9742d
md5 66ae3ac92c080265160dd55ad87cd972

C2服务器 (该家族共有 7 台已记录服务器)

地址 类型 端口 协议 状态 国家
arena.cc domain — HTTP active —
cacerts.digicert.com domain — HTTP active —
crl3.digicert.com domain — HTTP active —
crl.globalsign.com domain — HTTP active —
45.139.199.83 ip 443 HTTPS inactive RU
coded_stream.cc domain — HTTP inactive —
92.255.57.48 ip 80 HTTP sinkholed UA

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
AZORultEvasionexePonyRaccoonRAT