Manuel Statik Analiz — Raccoon Stealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | ProtonVPN.exe (ProtonVPN gizlilik VPN taklidi!) |
| Boyut | 1.324.336 byte (1.3MB) |
| String Sayisi | 1.699 |
ProtonVPN Gizlilik VPN Taklidi
Hedef Profil: Gizlilik bilinçli kullanıcılar — gazeteciler, aktivistler, araştırmacı gazeteciler!
ProtonVPN.exe -- ProtonVPN = İsviçre merkezli gizlilik odaklı VPN (Proton AG) -- Hedef: gizlilik bilinçli, güvenliğe önem veren kullanıcılar -- ProtonVPN'i indiren kişi zaten güvenlik farkındası → ama sahte ProtonVPN.exe'yi çalıştırıyor! -- İroni: gizlilik için VPN indiriyor, stealer bulaşıyor -- Gazeteciler, muhalefet üyeleri, aktivistler hedef alınıyor
RaccoonStealer V2 Hakkında
Raccoon Stealer 2022'de yeniden başlatılan (V1 2019) info stealer'dır. C ile yazılmış, MaaS (Malware-as-a-Service) modeli ile $200/ay. Tarayıcı parolası, kripto cüzdan, kredi kartı, e-posta, FTP, Discord/Steam token çalmaya odaklanır. Telegram C2 ve web panel desteği.
IOC
| SHA256 | 7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | ProtonVPN.exe (Proton AG VPN taklidi) |
Raccoon2 — Malware Profili
Raccoon Stealer V2 C 2022 MaaS 200 dolar/ay. ProtonVPN.exe gizlilik VPN lure. Tarayici parola/kripto/kredi kart. Telegram C2.
Malware Tipi
Infostealer
Programlama Dili
Delphi
C2 Protokolü
HTTPS
Hedef Sistemler
Küresel
Yetenekler ve Davranış
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC Listesi (1 gösterge)
IOC — Raccoon2
# SHA256
7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Tür | Değer | Not |
|---|---|---|
| sha256 | 7e59452c10d407a01324336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |