위협 요약
패밀리RemusStealer
위협 수준심각
Platform.NET (C#)
PackerTespit edilmedi (de-pumped)
SHA256b6db106e9f604fcd4fe843f791f895fa...
최초 발견2026-06-29
탐지 방법MalwareBazaar + 시그니처 일치
신뢰도MEDIUM
파일 정보
| 속성 | 값 |
|---|---|
| SHA256 | b6db106e9f604fcd4fe843f791f895faf20ec5af4ec02ce2efba4e8a3c43880c |
| MD5 | f98ca83e1f97c8a5e5e93baa824dbbd4 |
| SHA1 | |
| 파일 이름 | cx-programmer 9.1 free download full.exe |
| 크기 | 1,254,401 bytes |
| 아키텍처 | x86 |
| 컴파일 날짜 | 알 수 없음 |
| Packer | Tespit edilmedi (de-pumped) |
| MB 최초 발견 | 2026-06-29 |
| MB 태그 | exe, RemusStealer, de-pumped |
위협 프로필
패밀리: RemusStealer 분류: 심각 신뢰도: MEDIUM
Bu örnek, cx-programmer 9.1 endüstriyel yazılımının sahte crack versiyonu olarak dağıtılan RemusStealer ailesidir. İlk örnekle (2a169c4c) aynı teknik imzaları taşımakla birlikte farklı kurban hedefi veya kampanyaya işaret etmektedir. Endüstriyel yazılım crackini arayan kullanıcıları hedeflediğinden SCADA/ICS ortamlarını kullanan kuruluşlar için özel risk taşımaktadır.
탐지된 기능
- Discord Token Theft
- Kripto Cüzdan Çalma (MetaMask, Exodus, Electrum)
- Tarayıcı Şifresi ve Cookie Çalma (Chrome, Firefox, Edge, Brave)
- Sistem Bilgisi Toplama
- Screenshot Alma
- Telegram/Discord Webhook ile C2
- Anti-Debug ve Sandbox Tespiti
Anti-Analiz Teknikleri
- Anti-Debug
- Sandbox tespiti
Kalıcılık Mekanizmaları
Yok (one-shot stealer)
Enjeksiyon Teknikleri
- Tespit edilmedi (statik analizde obfuscated)
C2 Sunucuları
C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated.
Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.
IOC Listesi
| Tip | 값 |
|---|---|
| sha256 | b6db106e9f604fcd4fe843f791f895faf20ec5af4ec02ce2efba4e8a3c43880c |
| md5 | f98ca83e1f97c8a5e5e93baa824dbbd4 |
| domain | activeSweepmheap.fr |
| domain | atomic.Com |
| domain | bisect.de |
| domain | bits.Tr |
| domain | bytealg.Com |
| domain | cmp.Com |
| domain | destroy.fr |
| domain | dict.br |
| domain | dict.Com |
| domain | dict.me |
| domain | doSlow.de |
| domain | eq.io |
| domain | eq.reflect.me |
| domain | eq.reflect.Me |
| domain | eq.ru |
| domain | eq.runtime.Fr |
| domain | eq.runtime.tr |
| domain | eq.syscall.WS |
| domain | exithook.ru |
| domain | exithook.Ru |
| domain | exithook.Run.de |
| domain | Find.de |
| domain | flush.de |
| domain | fmtsort.com |
| domain | freemheap.fr |
| domain | godebug.ru |
| domain | godebugs.Info |
| domain | godebug.update.de |
| domain | handleMethods.de |
| domain | hash.ru |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
RemusStealer — 악성코드 프로필
RemusStealer, infostealer kategorisinde bir malware ailesidir. Yetenekler: Process Injection, Persistence, Network/Download, Encryption, Ransomware Behavior.
악성코드 유형
Infostealer
프로그래밍 언어
.NET/C#
C2 프로토콜
HTTP
대상 시스템
Küresel
기술 세부 정보
.NET/C#, HTTP POST C2, browser credential theft, clipboard monitor, screenshot, anti-VM kontrolleri
기능 및 동작
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC 목록 (5 개 지표)
IOC — RemusStealer
# SHA256
b6db106e9f604fcd4fe843f791f895faf20ec5af4ec02ce2efba4e8a3c43880c
# MD5
f98ca83e1f97c8a5e5e93baa824dbbd4
# DOMAIN
eq.runtime.Fr
# DOMAIN
eq.runtime.tr
# DOMAIN
handleMethods.de
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | b6db106e9f604fcd4fe843f791f895faf20ec5af4ec02ce2efba4e8a3c43880c | |
| md5 | f98ca83e1f97c8a5e5e93baa824dbbd4 | |
| domain | eq.runtime.Fr | |
| domain | eq.runtime.tr | |
| domain | handleMethods.de |