Arquivo Kimliği
| SHA256 | fa6b29b3dc5d47fd549c0cde37077d1b6cb9cfa888ee89a3b5c2e7d1f4a0b8e6 |
|---|---|
| Tamanho | 84.480 byte |
| String Sayisi | 1.207 |
MetaMask Kripto Cuzdan Hedefi
metamask.io -- MetaMask kripto cuzdan hedef domaini webextension@metamask.io -- MetaMask tarayici eklentisi email SOFTWARE\Microsoft\Cryptography -- Windows Kripto API wallet.dat, wallets -- Kripto cuzdan dosyasi hedefleri
Tarayici Kimlik Bilgisi Calma
Login Data -- Chrome/Edge sifreli sifre veritabani User Data -- Tarayici profil klasoru \cookies.txt -- Cerez dosyasi hedefi InternetOpenUrlW, InternetOpenUrlA -- WinInet C2 iletisimi
RecordBreaker Hakkinda
RecordBreaker (Raccoon Stealer v2), Raccoon Stealer'in 2022'deki guncellenmis versiyonudur. C++ ile yazilmistir. Tarayici sifreleri, kripto cuzdanlar, Discord, Steam, Telegram ve 30+ uygulama hedefler. MetaMask gibi kripto cuzdan tarayici eklentilerini ozellikle hedefler. MaaS (Malware-as-a-Service) olarak satilir.
IOC
| SHA256 | fa6b29b3dc5d47fd549c0cde37077d1b6cb9cfa888ee89a3b5c2e7d1f4a0b8e6 |
|---|---|
| Hedef | MetaMask (metamask.io) |
| Hedef Arquivo | wallet.dat, Login Data, Cookies |
RecordBreaker — Perfil do malware
RecordBreaker Raccoon 2.0 stealer. BABYKEYXOE XOR key hidden message. 72-char uppercase encrypted config. press developer debug PDB. MD5 decryptor.
Detalhes técnicos
Infostealer ailesi: TCP C2 protokolu, kalicilik mekanizmasi (Registry/Task Scheduler), keylogger, ekran goruntüsü, uzak kabuk, dosya yoneticisi, process manager, anti-analiz kontrolleri
Capacidades e comportamento
Lista IOC (1 indicadores)
# SHA256
fa6b29b3dc5d47fd549c0cde37077d1b6cb9cfa888ee89a3b5c2e7d1f4a0b8e6
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | fa6b29b3dc5d47fd549c0cde37077d1b6cb9cfa888ee89a3b5c2e7d1f4a0b8e6 |
Servidores C2 (2 servidores registrados para esta família)
| Endereço | Tipo | Porta | Protocolo | Status | País |
|---|---|---|---|---|---|
| 188.120.241.201 | ip | 80 | HTTP | active | RU |
| 103.124.105.230 | ip | 443 | HTTPS | inactive | IN |
Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.