Manuel Statik Analiz — RisePro Stealer | Tehdit: YUKSEK

Dosya Kimliği

SHA256ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Dosya Adırise.exe (stealer'ın kendi marka adı!)
Boyut1.711.670 byte (1.63MB)
String Sayisi3.345

rise.exe: Kendi Marka Adıyla Binary

rise.exe
-- "RisePro" stealerının kendi adıyla binary
-- Geliştirici: markalaşma için ürün adını binary'ye koymuş
-- Karşılaştır: meduza (Meduza), prick.exe (Quasar)
-- Bu level OPSEC ihmal: sandbox'ta hemen tanınır

surrogate U+D800: JSON C2 Doğrulama

PROTOKOL: JSON Unicode doğrulama katmanı!
invalid string: surrogate U+D800..U+DBFF must be followed by U+DC00..U+DFFF
-- UTF-16 vekil çifti (surrogate pair) doğrulama hatası
-- U+D800..U+DBFF = yüksek vekil (high surrogate)
-- U+DC00..U+DFFF = düşük vekil (low surrogate)
-- JSON RFC 7159: geçersiz surrogate çifti → parse hatası
-- RisePro: C2 iletişiminde JSON veri doğrulaması yapıyor
-- Aynı hata: ValleyRAT, PikaBot, DanaBot → paylaşılan JSON kütüphanesi

IOC

SHA256ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0

RisePro — Malware Profile

RisePro stealer. rise.exe brand name. JSON Unicode surrogate validation. Triple anti-debug.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows

Technical Details

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — RisePro
# SHA256 ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
riseprorise-exe-brand-namesurrogate-u-d800-json-validationgettickcountcomp64-triple-antidebugunicode-surrogate-validationposix-socket-errors