RemusStealer — Analyse statique profonde (b6db106e)

Résumé de la menace
FamilleRemusStealer
Niveau de menaceCRITIQUE
Platform.NET (C#)
PackerTespit edilmedi (de-pumped)
SHA256b6db106e9f604fcd4fe843f791f895fa...
Première observation2026-06-29
Méthode de détectionMalwareBazaar + Correspondance de signature
ConfianceMEDIUM

Informations sur le fichier

PropriétéValeur
SHA256b6db106e9f604fcd4fe843f791f895faf20ec5af4ec02ce2efba4e8a3c43880c
MD5f98ca83e1f97c8a5e5e93baa824dbbd4
SHA1
Nom du fichiercx-programmer 9.1 free download full.exe
Taille1,254,401 bytes
Architecturex86
Date de compilationInconnu
PackerTespit edilmedi (de-pumped)
MB première observation2026-06-29
Étiquettes MBexe, RemusStealer, de-pumped

Profil de menace

Famille: RemusStealer   Classification: CRITIQUE   Confiance: MEDIUM

Bu örnek, cx-programmer 9.1 endüstriyel yazılımının sahte crack versiyonu olarak dağıtılan RemusStealer ailesidir. İlk örnekle (2a169c4c) aynı teknik imzaları taşımakla birlikte farklı kurban hedefi veya kampanyaya işaret etmektedir. Endüstriyel yazılım crackini arayan kullanıcıları hedeflediğinden SCADA/ICS ortamlarını kullanan kuruluşlar için özel risk taşımaktadır.

Capacités détectées

  • Discord Token Theft
  • Kripto Cüzdan Çalma (MetaMask, Exodus, Electrum)
  • Tarayıcı Şifresi ve Cookie Çalma (Chrome, Firefox, Edge, Brave)
  • Sistem Bilgisi Toplama
  • Screenshot Alma
  • Telegram/Discord Webhook ile C2
  • Anti-Debug ve Sandbox Tespiti

Anti-Analiz Teknikleri

  • Anti-Debug
  • Sandbox tespiti

Kalıcılık Mekanizmaları

  • Yok (one-shot stealer)

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

TipValeur
sha256b6db106e9f604fcd4fe843f791f895faf20ec5af4ec02ce2efba4e8a3c43880c
md5f98ca83e1f97c8a5e5e93baa824dbbd4
domainactiveSweepmheap.fr
domainatomic.Com
domainbisect.de
domainbits.Tr
domainbytealg.Com
domaincmp.Com
domaindestroy.fr
domaindict.br
domaindict.Com
domaindict.me
domaindoSlow.de
domaineq.io
domaineq.reflect.me
domaineq.reflect.Me
domaineq.ru
domaineq.runtime.Fr
domaineq.runtime.tr
domaineq.syscall.WS
domainexithook.ru
domainexithook.Ru
domainexithook.Run.de
domainFind.de
domainflush.de
domainfmtsort.com
domainfreemheap.fr
domaingodebug.ru
domaingodebugs.Info
domaingodebug.update.de
domainhandleMethods.de
domainhash.ru

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

RemusStealer — Profil du malware

RemusStealer, infostealer kategorisinde bir malware ailesidir. Yetenekler: Process Injection, Persistence, Network/Download, Encryption, Ransomware Behavior.

Type de malware
Infostealer
Langage de programmation
.NET/C#
Protocole C2
HTTP
Systèmes ciblés
Küresel

Détails techniques

.NET/C#, HTTP POST C2, browser credential theft, clipboard monitor, screenshot, anti-VM kontrolleri

Capacités et comportement

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Liste IOC (5 indicateurs)

IOC — RemusStealer
# SHA256 b6db106e9f604fcd4fe843f791f895faf20ec5af4ec02ce2efba4e8a3c43880c # MD5 f98ca83e1f97c8a5e5e93baa824dbbd4 # DOMAIN eq.runtime.Fr # DOMAIN eq.runtime.tr # DOMAIN handleMethods.de
TypeValeurNote
sha256 b6db106e9f604fcd4fe843f791f895faf20ec5af4ec02ce2efba4e8a3c43880c
md5 f98ca83e1f97c8a5e5e93baa824dbbd4
domain eq.runtime.Fr
domain eq.runtime.tr
domain handleMethods.de
Tags
remusstealerinfostealercredential-theftdiscordcryptopeanalizstatikioccrackware