Manuel Statik Analiz — RecordBreaker (Raccoon Stealer v2) | Tehdit: YUKSEK

Dosya Kimliği

SHA256aa2cae824c23fc151693696b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıfile → PE payload
Boyut1.693.696 byte (1.7MB)
String Sayisi11.452

PDB Yolu: "press" Geliştirici Kullanıcı Adı

Geliştirici Tespiti: press kullanıcı adı!
C:\Users\press\AppData\Local\Temp\Report.A66214F7-6635-4084-8609-050NK772EXE\obj\Debug\
-- Geliştirici kullanıcı adı: "press"
-- "Report.{GUID}EXE" = kötü amaçlı binary build temp klasörü
-- "A66214F7-6635-4084-8609-050NK772EXE" = GUID + "NK772EXE" etiket
-- "obj\Debug\" = Visual Studio Debug build (release değil!)
-- Geliştiricinin build ortamı: Windows + Visual Studio
-- "050NK772EXE" = sürüm kodu / build identifier

Şifreleme Anahtarı: LUWKTVNBABYKEYXOEQJLDVKGWJYYXUU

Config Anahtarı Tespiti!
LUWKTVNBABYKEYXOEQJLDVKGWJYYXUU
-- 32 büyük harf karakter (256-bit key bloğu)
-- İçinde "BABYKEY" belirteç: LUWKTVNBABYKEYXOEQJLDVKGWJYYXUU
-- "BABYKEY" = RecordBreaker konfigürasyon imzası veya XOR anahtarı
-- 32 harf = AES-256 veya RC4 key uzunluğu
-- Raccoon v2 (RecordBreaker) config şifreleme için kullanılıyor olabilir

RecordBreaker / Raccoon Stealer v2 Hakkında

Raccoon Stealer v2 (RecordBreaker) 2022'de Raccoon v1'in yaratıcılarının tutuklanmasından sonra ortaya çıktı. Tarayıcı şifreleri, kripto cüzdanları, FTP credentials, email hesapları hedef alır. C++ ile yazılmış. $275/hafta MaaS olarak satılmaktaydı (RaaS model). "press" geliştirici adı daha önce çeşitli analizlerde de görülmüştür.

IOC

SHA256aa2cae824c23fc151693696b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
PDBC:\Users\press\AppData\Local\Temp\Report.A66214F7-...\obj\Debug\
Config KeyLUWKTVNBABYKEYXOEQJLDVKGWJYYXUU (32-char)

RecordBreaker2 — Malware Profile

RecordBreaker Raccoon Stealer v2 2022. press gelistirici. LUWKTVNBABYKEYXOEQJLD config key. Browser + crypto + FTP.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — RecordBreaker2
# SHA256 aa2cae824c23fc151693696b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 aa2cae824c23fc151693696b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
recordbreakerraccoon-stealer-v2press-developer-usernameluwktvnbabykey-32charbabykey-config-markervisual-studio-debugguid-temp-folder