RemusStealer — 딥 정적 분석 (2a169c4c)

위협 요약
패밀리RemusStealer
위협 수준심각
Platform.NET (C#)
PackerTespit edilmedi (de-pumped)
SHA2562a169c4c4471f3c37d1e220155d710eb...
최초 발견2026-06-29
탐지 방법MalwareBazaar + 시그니처 일치
신뢰도MEDIUM

파일 정보

속성
SHA2562a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0
MD5a034e6fcb5bba561da5b1261726cfc9d
SHA1
파일 이름recuva_professional__technician_(2026)_full_español_[mega].exe
크기1,291,966 bytes
아키텍처x86
컴파일 날짜알 수 없음
PackerTespit edilmedi (de-pumped)
MB 최초 발견2026-06-29
MB 태그exe, RemusStealer, de-pumped

위협 프로필

패밀리: RemusStealer   분류: 심각   신뢰도: MEDIUM

RemusStealer, sahte crack yazılımları (Recuva Professional gibi) aracılığıyla dağıtılan .NET tabanlı infostealer ailesidir. Çalışır çalışmaz Discord tokenları, kripto cüzdanları ve tarayıcı kimlik bilgilerini toplayarak Discord Webhook veya Telegram üzerinden saldırgana iletir. "de-pumped" etiketi, orijinal dosyanın boyutunun yapay olarak şişirilip sonra küçültüldüğünü göstermektedir. MB tarafından MalwareBazaar feed üzerinden yakalanmıştır.

탐지된 기능

  • Discord Token Theft
  • Kripto Cüzdan Çalma (MetaMask, Exodus, Electrum)
  • Tarayıcı Şifresi ve Cookie Çalma (Chrome, Firefox, Edge, Brave)
  • Sistem Bilgisi Toplama (hwid, username, ip)
  • Screenshot Alma
  • Telegram/Discord Webhook ile C2
  • Anti-Debug ve Sandbox Tespiti

Anti-Analiz Teknikleri

  • Anti-Debug
  • Sandbox tespiti
  • VM kontrolü

Kalıcılık Mekanizmaları

  • Yok (one-shot stealer — tek çalışma, hızlı sızdırma)

Enjeksiyon Teknikleri

  • Process Injection (Network/Web API calls)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

Tip
sha2562a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0
md5a034e6fcb5bba561da5b1261726cfc9d
domainactiveSweepmheap.fr
domainatomic.Com
domainbisect.de
domainbits.Tr
domainbytealg.Com
domaincmp.Com
domaindestroy.fr
domaindict.br
domaindict.Com
domaindict.me
domaindoSlow.de
domaineq.io
domaineq.reflect.me
domaineq.reflect.Me
domaineq.ru
domaineq.runtime.Fr
domaineq.runtime.tr
domaineq.syscall.WS
domainexithook.ru
domainexithook.Ru
domainexithook.Run.de
domainFind.de
domainflush.de
domainfmtsort.com
domainfreemheap.fr
domaingodebug.ru
domaingodebugs.Info
domaingodebug.update.de
domainhandleMethods.de
domainhash.ru

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

RemusStealer — 악성코드 프로필

RemusStealer, infostealer kategorisinde bir malware ailesidir. Yetenekler: Process Injection, Persistence, Network/Download, Encryption, Ransomware Behavior.

악성코드 유형
Infostealer
프로그래밍 언어
.NET/C#
C2 프로토콜
HTTP
대상 시스템
Küresel

기술 세부 정보

.NET/C#, HTTP POST C2, browser credential theft, clipboard monitor, screenshot, anti-VM kontrolleri

기능 및 동작

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC 목록 (5 개 지표)

IOC — RemusStealer
# SHA256 2a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0 # MD5 a034e6fcb5bba561da5b1261726cfc9d # DOMAIN eq.runtime.Fr # DOMAIN eq.runtime.tr # DOMAIN handleMethods.de
유형메모
sha256 2a169c4c4471f3c37d1e220155d710eb7a0cafead7552e48fdab8f9d4d9e5bb0
md5 a034e6fcb5bba561da5b1261726cfc9d
domain eq.runtime.Fr
domain eq.runtime.tr
domain handleMethods.de
태그
remusstealerinfostealercredential-theftdiscordcryptopeanalizstatikioccrackware