Manuel Statik Analiz — RecordBreaker (Raccoon Stealer v2) | Tehdit: KRITIK

文件 Kimliği

SHA256fa6b29b3dc5d47fd549c0cde37077d1b6cb9cfa888ee89a3b5c2e7d1f4a0b8e6
大小84.480 byte
String Sayisi1.207

MetaMask Kripto Cuzdan Hedefi

metamask.io                 -- MetaMask kripto cuzdan hedef domaini
webextension@metamask.io    -- MetaMask tarayici eklentisi email
SOFTWARE\Microsoft\Cryptography  -- Windows Kripto API
wallet.dat, wallets         -- Kripto cuzdan dosyasi hedefleri

Tarayici Kimlik Bilgisi Calma

Login Data    -- Chrome/Edge sifreli sifre veritabani
User Data     -- Tarayici profil klasoru
\cookies.txt  -- Cerez dosyasi hedefi
InternetOpenUrlW, InternetOpenUrlA  -- WinInet C2 iletisimi

RecordBreaker Hakkinda

RecordBreaker (Raccoon Stealer v2), Raccoon Stealer'in 2022'deki guncellenmis versiyonudur. C++ ile yazilmistir. Tarayici sifreleri, kripto cuzdanlar, Discord, Steam, Telegram ve 30+ uygulama hedefler. MetaMask gibi kripto cuzdan tarayici eklentilerini ozellikle hedefler. MaaS (Malware-as-a-Service) olarak satilir.

IOC

SHA256fa6b29b3dc5d47fd549c0cde37077d1b6cb9cfa888ee89a3b5c2e7d1f4a0b8e6
HedefMetaMask (metamask.io)
Hedef 文件wallet.dat, Login Data, Cookies

RecordBreaker — 恶意软件档案

RecordBreaker Raccoon 2.0 stealer. BABYKEYXOE XOR key hidden message. 72-char uppercase encrypted config. press developer debug PDB. MD5 decryptor.

恶意软件类型
Infostealer
编程语言
C++
C2协议
HTTP
目标系统
Windows
别名 (AKA)
Raccoon2

技术细节

Infostealer ailesi: TCP C2 protokolu, kalicilik mekanizmasi (Registry/Task Scheduler), keylogger, ekran goruntüsü, uzak kabuk, dosya yoneticisi, process manager, anti-analiz kontrolleri

能力与行为

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC列表 (1 个指标)

IOC — RecordBreaker
# SHA256 fa6b29b3dc5d47fd549c0cde37077d1b6cb9cfa888ee89a3b5c2e7d1f4a0b8e6
类型备注
sha256 fa6b29b3dc5d47fd549c0cde37077d1b6cb9cfa888ee89a3b5c2e7d1f4a0b8e6

C2服务器 (该家族共有 2 台已记录服务器)

地址 类型 端口 协议 状态 国家
188.120.241.201 ip 80 HTTP active RU
103.124.105.230 ip 443 HTTPS inactive IN

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
recordbreakerraccoon-v2metamaskcrypto-walletlogin-databrowser-stealer