Manuel Statik Analiz — RecordBreaker (ProtonVPN Taklidi) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | ProtonVPN.exe (Meşru VPN uygulaması taklidi!) |
| Boyut | 1.324.336 byte |
| String Sayisi | 1.699 (ciddi şifreleme) |
ProtonVPN Kamuflajı
Hedef Profili: Gizlilik/VPN kullanan teknik kullanıcılar — güvenlik bilincini tersine çeviren taktik!
ProtonVPN.exe -- Proton AG'nin meşru VPN istemcisi adı -- ProtonVPN kullanıcıları güvenlik bilincine sahip -- Tam tersine: "güvenli yazılım" sandıkları şeyi çalıştırıyorlar -- 1.3MB boyut ProtonVPN setup ile uyumlu görünüyor -- 1,699 string: çok az = payload şifreli/paketlenmiş
RecordBreaker / CryptBot İlişkisi
RecordBreaker, 2022'de CryptBot ailesinin fork/varyantı olarak tanımlandı. Delphi ekran yakalama bileşenlerini kullanır (ScreenSnap, TScreen). Tarayıcı cookie/şifre + kripto cüzdan hedefler. ProtonVPN.exe kamufajı, güvenlik bilincine sahip kurumsal kullanıcıları hedeflemek için kullanılıyor.
IOC
| SHA256 | 7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Kamuflaj | ProtonVPN.exe (VPN gizlilik aracı taklidi) |
Raccoon2 — Malware Profile
Raccoon Stealer V2 C 2022 MaaS 200 dolar/ay. ProtonVPN.exe gizlilik VPN lure. Tarayici parola/kripto/kredi kart. Telegram C2.
Malware Type
Infostealer
Programming Language
Delphi
C2 Protocol
HTTPS
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — Raccoon2
# SHA256
7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |