Dosya Bilgileri
| Özellik | Değer |
|---|---|
| SHA256 | 2a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0 |
| MD5 | a034e6fcb5bba561da5b1261726cfc9d |
| SHA1 | |
| Dosya Adı | recuva_professional__technician_(2026)_full_español_[mega].exe |
| Boyut | 1,291,966 bytes |
| Mimari | x86 |
| Derleme Tarihi | Bilinmiyor |
| Packer | Tespit edilmedi (de-pumped) |
| MB İlk Görülme | 2026-06-29 |
| MB Etiketleri | exe, RemusStealer, de-pumped |
Tehdit Profili
Aile: RemusStealer Sınıflandırma: KRİTİK Güven: MEDIUM
RemusStealer, sahte crack yazılımları (Recuva Professional gibi) aracılığıyla dağıtılan .NET tabanlı infostealer ailesidir. Çalışır çalışmaz Discord tokenları, kripto cüzdanları ve tarayıcı kimlik bilgilerini toplayarak Discord Webhook veya Telegram üzerinden saldırgana iletir. "de-pumped" etiketi, orijinal dosyanın boyutunun yapay olarak şişirilip sonra küçültüldüğünü göstermektedir. MB tarafından MalwareBazaar feed üzerinden yakalanmıştır.
Tespit Edilen Yetenekler
- Discord Token Theft
- Kripto Cüzdan Çalma (MetaMask, Exodus, Electrum)
- Tarayıcı Şifresi ve Cookie Çalma (Chrome, Firefox, Edge, Brave)
- Sistem Bilgisi Toplama (hwid, username, ip)
- Screenshot Alma
- Telegram/Discord Webhook ile C2
- Anti-Debug ve Sandbox Tespiti
Anti-Analiz Teknikleri
- Anti-Debug
- Sandbox tespiti
- VM kontrolü
Kalıcılık Mekanizmaları
Yok (one-shot stealer — tek çalışma, hızlı sızdırma)
Enjeksiyon Teknikleri
- Process Injection (Network/Web API calls)
C2 Sunucuları
IOC Listesi
| Tip | Değer |
|---|---|
| sha256 | 2a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0 |
| md5 | a034e6fcb5bba561da5b1261726cfc9d |
| domain | activeSweepmheap.fr |
| domain | atomic.Com |
| domain | bisect.de |
| domain | bits.Tr |
| domain | bytealg.Com |
| domain | cmp.Com |
| domain | destroy.fr |
| domain | dict.br |
| domain | dict.Com |
| domain | dict.me |
| domain | doSlow.de |
| domain | eq.io |
| domain | eq.reflect.me |
| domain | eq.reflect.Me |
| domain | eq.ru |
| domain | eq.runtime.Fr |
| domain | eq.runtime.tr |
| domain | eq.syscall.WS |
| domain | exithook.ru |
| domain | exithook.Ru |
| domain | exithook.Run.de |
| domain | Find.de |
| domain | flush.de |
| domain | fmtsort.com |
| domain | freemheap.fr |
| domain | godebug.ru |
| domain | godebugs.Info |
| domain | godebug.update.de |
| domain | handleMethods.de |
| domain | hash.ru |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
RemusStealer — Malware Profile
RemusStealer, infostealer kategorisinde bir malware ailesidir. Yetenekler: Process Injection, Persistence, Network/Download, Encryption, Ransomware Behavior.
Technical Details
.NET/C#, HTTP POST C2, browser credential theft, clipboard monitor, screenshot, anti-VM kontrolleri
Capabilities & Behavior
IOC List (5 indicators)
# SHA256
2a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0
# MD5
a034e6fcb5bba561da5b1261726cfc9d
# DOMAIN
eq.runtime.Fr
# DOMAIN
eq.runtime.tr
# DOMAIN
handleMethods.de
| Type | Value | Note |
|---|---|---|
| sha256 | 2a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0 | |
| md5 | a034e6fcb5bba561da5b1261726cfc9d | |
| domain | eq.runtime.Fr | |
| domain | eq.runtime.tr | |
| domain | handleMethods.de |