Manuel Statik Analiz — RecordBreaker (Raccoon Stealer 2.0) | Tehdit: MOYEN

Fichier Kimliği

SHA256aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2c7
PDBC:\Users\press\...\Report.A66214F7-6635-4084-8609-050NK772EXE\obj\Debug
String Sayisi11.452

LUWKTVNBABYKEY: XOR Anahtarında "BABY KEY" Gizli Mesajı

EASTER EGG: Geliştirici XOR şifreleme anahtarına "BABY" + "KEY" kelimelerini gizlemiş!
LUWKTVNBABYKEY XOEQJLDVKGWJYYXUU        (32 karakter)
          ^^^^
-- Pozisyon 8-14: "BABYKEYXOE" = "BABY" + "KEY" gömülü!
-- 32-karakter XOR anahtarı = 256-bit (AES-256 eşdeğeri güçte)
-- Geliştirici: şifreleme anahtarına anlamlı kelimeler gizlemiş
  - Bu: APT geliştiricilerin bazen yaptığı imza tekniği
  - "BABY KEY" = kendi özel anahtarı, "bebek anahtar" lakabı?
  - Forensik: bu kalıp → aynı geliştirici grubunu tanımlamak için

72-73 Karakter Şifreli Yapılandırma Stringleri

XHYOUUZATSDRIOKPGWDSUPIYJDEUYNBOTYORPGZMQXHQXWXJIKOEAFBHZAFQQFBGQPXJATA  (72c)
AWFFNSDHGEIBOTYPSIJQGFBPPSFGSUWLCNFJDDXHHWRZXVDFULGZPOQUUQQVNWOLHXZAOOMPKB (73c)
XXRCBMAABHWIOIZQUPVYWJFJNFQAEQWSWURLHLWB                                     (40c)
EYBMPJDMTSCVFYNUQQGELHKNTYURLYBLNGLHOOOKERVFUNWWSLGBSUJWOOSQOMBUQQHZMF      (71c)
-- Tüm büyük harf, yüksek entropi = şifreli yapılandırma verileri
-- MD5CryptoServiceProvider + CreateDecryptor kombinasyonu:
  - RecordBreaker: bu anahtarları MD5 hash'leyerek C2 config çözüyor
  - "XHYOUUZA..." → MD5 → AES anahtar → C2 adres/port decrypt

C:\Users\press Debug PDB + 050NK772EXE

C:\Users\press\AppData\Local\Temp\Report.A66214F7-6635-4084-8609-050NK772EXE\obj\Debug
-- "press" = kısa geliştirici kullanıcı adı (5 karakter)
-- "050NK772EXE" = standart dışı GUID bileşeni!
  - Normal GUID: sadece hex [0-9A-F]
  - "NK" + "EXE" = non-hex karakterler → özel sürüm/variant etiket
-- "obj\Debug" = debug derlemesi (test/geliştirme aşaması)

IOC

SHA256aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2c7
Geliştirici"press" (Debug PDB)

RecordBreaker — Profil du malware

RecordBreaker Raccoon 2.0 stealer. BABYKEYXOE XOR key hidden message. 72-char uppercase encrypted config. press developer debug PDB. MD5 decryptor.

Type de malware
Infostealer
Langage de programmation
C++
Protocole C2
HTTP
Systèmes ciblés
Windows
Aussi connu sous (AKA)
Raccoon2

Détails techniques

Infostealer ailesi: TCP C2 protokolu, kalicilik mekanizmasi (Registry/Task Scheduler), keylogger, ekran goruntüsü, uzak kabuk, dosya yoneticisi, process manager, anti-analiz kontrolleri

Capacités et comportement

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Liste IOC (1 indicateurs)

IOC — RecordBreaker
# SHA256 aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2
TypeValeurNote
sha256 aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2

Serveurs C2 (2 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
188.120.241.201 ip 80 HTTP active RU
103.124.105.230 ip 443 HTTPS inactive IN

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
recordbreakerraccoon-stealer-2raccoon2luwktvnbabykey-xor-encryption-key-hidden-messagexhyouuza-72char-uppercase-encrypted-configpress-developer-debug-pdb-username050nk772exe-nonstandard-guid-artifactmd5cryptoserviceprovider-decryptorsoap-http-client-protocol