Manuel Statik Analiz — RecordBreaker (ProtonVPN Taklidi) | Tehdit: YUKSEK

Dosya Kimliği

SHA2567e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıProtonVPN.exe (Meşru VPN uygulaması taklidi!)
Boyut1.324.336 byte
String Sayisi1.699 (ciddi şifreleme)

ProtonVPN Kamuflajı

Hedef Profili: Gizlilik/VPN kullanan teknik kullanıcılar — güvenlik bilincini tersine çeviren taktik!
ProtonVPN.exe  -- Proton AG'nin meşru VPN istemcisi adı
-- ProtonVPN kullanıcıları güvenlik bilincine sahip
-- Tam tersine: "güvenli yazılım" sandıkları şeyi çalıştırıyorlar
-- 1.3MB boyut ProtonVPN setup ile uyumlu görünüyor
-- 1,699 string: çok az = payload şifreli/paketlenmiş

RecordBreaker / CryptBot İlişkisi

RecordBreaker, 2022'de CryptBot ailesinin fork/varyantı olarak tanımlandı. Delphi ekran yakalama bileşenlerini kullanır (ScreenSnap, TScreen). Tarayıcı cookie/şifre + kripto cüzdan hedefler. ProtonVPN.exe kamufajı, güvenlik bilincine sahip kurumsal kullanıcıları hedeflemek için kullanılıyor.

IOC

SHA2567e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
KamuflajProtonVPN.exe (VPN gizlilik aracı taklidi)

Raccoon2 — Malware Profile

Raccoon Stealer V2 C 2022 MaaS 200 dolar/ay. ProtonVPN.exe gizlilik VPN lure. Tarayici parola/kripto/kredi kart. Telegram C2.

Malware Type
Infostealer
Programming Language
Delphi
C2 Protocol
HTTPS
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — Raccoon2
# SHA256 7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
recordbreakerprotonvpn-exe-disguisevpn-impersonationprivacy-tool-lurestealeranti-debug