Informações do arquivo
| Propriedade | Valor |
|---|---|
| SHA256 | 2a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0 |
| MD5 | a034e6fcb5bba561da5b1261726cfc9d |
| SHA1 | |
| Nome do arquivo | recuva_professional__technician_(2026)_full_español_[mega].exe |
| Tamanho | 1,291,966 bytes |
| Arquitetura | x86 |
| Data de compilação | Desconhecido |
| Packer | Tespit edilmedi (de-pumped) |
| MB primeira detecção | 2026-06-29 |
| Tags MB | exe, RemusStealer, de-pumped |
Perfil de ameaça
Família: RemusStealer Classificação: CRÍTICO Confiança: MEDIUM
RemusStealer, sahte crack yazılımları (Recuva Professional gibi) aracılığıyla dağıtılan .NET tabanlı infostealer ailesidir. Çalışır çalışmaz Discord tokenları, kripto cüzdanları ve tarayıcı kimlik bilgilerini toplayarak Discord Webhook veya Telegram üzerinden saldırgana iletir. "de-pumped" etiketi, orijinal dosyanın boyutunun yapay olarak şişirilip sonra küçültüldüğünü göstermektedir. MB tarafından MalwareBazaar feed üzerinden yakalanmıştır.
Capacidades detectadas
- Discord Token Theft
- Kripto Cüzdan Çalma (MetaMask, Exodus, Electrum)
- Tarayıcı Şifresi ve Cookie Çalma (Chrome, Firefox, Edge, Brave)
- Sistem Bilgisi Toplama (hwid, username, ip)
- Screenshot Alma
- Telegram/Discord Webhook ile C2
- Anti-Debug ve Sandbox Tespiti
Anti-Analiz Teknikleri
- Anti-Debug
- Sandbox tespiti
- VM kontrolü
Kalıcılık Mekanizmaları
Yok (one-shot stealer — tek çalışma, hızlı sızdırma)
Enjeksiyon Teknikleri
- Process Injection (Network/Web API calls)
C2 Sunucuları
IOC Listesi
| Tip | Valor |
|---|---|
| sha256 | 2a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0 |
| md5 | a034e6fcb5bba561da5b1261726cfc9d |
| domain | activeSweepmheap.fr |
| domain | atomic.Com |
| domain | bisect.de |
| domain | bits.Tr |
| domain | bytealg.Com |
| domain | cmp.Com |
| domain | destroy.fr |
| domain | dict.br |
| domain | dict.Com |
| domain | dict.me |
| domain | doSlow.de |
| domain | eq.io |
| domain | eq.reflect.me |
| domain | eq.reflect.Me |
| domain | eq.ru |
| domain | eq.runtime.Fr |
| domain | eq.runtime.tr |
| domain | eq.syscall.WS |
| domain | exithook.ru |
| domain | exithook.Ru |
| domain | exithook.Run.de |
| domain | Find.de |
| domain | flush.de |
| domain | fmtsort.com |
| domain | freemheap.fr |
| domain | godebug.ru |
| domain | godebugs.Info |
| domain | godebug.update.de |
| domain | handleMethods.de |
| domain | hash.ru |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
RemusStealer — Perfil do malware
RemusStealer, infostealer kategorisinde bir malware ailesidir. Yetenekler: Process Injection, Persistence, Network/Download, Encryption, Ransomware Behavior.
Detalhes técnicos
.NET/C#, HTTP POST C2, browser credential theft, clipboard monitor, screenshot, anti-VM kontrolleri
Capacidades e comportamento
Lista IOC (5 indicadores)
# SHA256
2a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0
# MD5
a034e6fcb5bba561da5b1261726cfc9d
# DOMAIN
eq.runtime.Fr
# DOMAIN
eq.runtime.tr
# DOMAIN
handleMethods.de
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 2a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0 | |
| md5 | a034e6fcb5bba561da5b1261726cfc9d | |
| domain | eq.runtime.Fr | |
| domain | eq.runtime.tr | |
| domain | handleMethods.de |