Manuel Statik Analiz — RisePro Stealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dosya Adı | rise.exe (stealer'ın kendi marka adı!) |
| Boyut | 1.711.670 byte (1.63MB) |
| String Sayisi | 3.345 |
rise.exe: Kendi Marka Adıyla Binary
rise.exe -- "RisePro" stealerının kendi adıyla binary -- Geliştirici: markalaşma için ürün adını binary'ye koymuş -- Karşılaştır: meduza (Meduza), prick.exe (Quasar) -- Bu level OPSEC ihmal: sandbox'ta hemen tanınır
surrogate U+D800: JSON C2 Doğrulama
PROTOKOL: JSON Unicode doğrulama katmanı!
invalid string: surrogate U+D800..U+DBFF must be followed by U+DC00..U+DFFF -- UTF-16 vekil çifti (surrogate pair) doğrulama hatası -- U+D800..U+DBFF = yüksek vekil (high surrogate) -- U+DC00..U+DFFF = düşük vekil (low surrogate) -- JSON RFC 7159: geçersiz surrogate çifti → parse hatası -- RisePro: C2 iletişiminde JSON veri doğrulaması yapıyor -- Aynı hata: ValleyRAT, PikaBot, DanaBot → paylaşılan JSON kütüphanesi
IOC
| SHA256 | ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|
RisePro — Malware Profile
RisePro stealer. rise.exe brand name. JSON Unicode surrogate validation. Triple anti-debug.
Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows
Technical Details
Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — RisePro
# SHA256
ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |