Aurora | Nivel de amenaza: high | Tipo: Infostealer
Identificadores criptográficos
| SHA256 | 8b7e4a85e6ea41caee36f287430d45350f3be89c3b616e28bb520cd0b6d69496 |
|---|---|
| MD5 | 4e9aba2bb4aaa1d36345000c9fe5f34f |
| Tipo de archivo | rar |
| Tamaño | 916.1 KB |
| Primera detección | 2023-01-30 |
| Nombre de archivo | PDF_Editor.rar |
| Etiquetas | Aurora, password: 1234, rar, Rhadamanthys |
Familia de malware: Aurora
Aurora, Go diliyle yazıldı.
| Tipo | Infostealer |
|---|---|
| Lenguaje de programación | Go |
| Plataforma objetivo | Windows |
| Protocolo C2 | HTTP |
| Propósito | Go infostealer |
| Año de primera detección | 2022 |
Indicadores de amenaza (IOC)
- SHA256:
8b7e4a85e6ea41caee36f287430d45350f3be89c3b616e28bb520cd0b6d69496 - MD5:
4e9aba2bb4aaa1d36345000c9fe5f34f
Guía de limpieza del sistema
- Desconecte el sistema de la red de inmediato
- Yeni bir cihazdan banka hesabı, sosyal medya ve e-posta şifrelerini değiştirin
- Mueva las carteras cripto a una nueva dirección y abandone las antiguas
- Inicie un análisis completo con un antivirus actualizado
- Borre las contraseñas guardadas del navegador y active 2FA
- Cierre todas las sesiones en los servicios afectados
Sugerencias de reglas YARA
rule Aurora_SHA256 {
meta:
description = "Aurora sample: 8b7e4a85e6ea41ca"
threat_level = "high"
first_seen = "2023-01-30"
condition:
hash.sha256(0, filesize) == "8b7e4a85e6ea41caee36f287430d45350f3be89c3b616e28bb520cd0b6d69496"
}
Aurora — Perfil del malware
Aurora, Go diliyle yazıldı.
Tipo de malware
Infostealer
Lenguaje de programación
Go
Protocolo C2
HTTP
Sistemas objetivo
Windows
Detalles técnicos
Go dili, HTTP/HTTPS C2, browser stealer (Chromium/Firefox/Brave), kripto wallet scraper, clipboard hijacker, screenshot, Discord/Telegram token stealer, anti-debug (timing check)
Capacidades y comportamiento
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
Lista IOC (12 indicadores)
IOC — Aurora
# SHA256
21545028cac12fc9e8692a71247040718e6d640ee6117d1b19f4521f886586be
# SHA256
57c6178936a9099249ebaf6d831a2d2e2b767c085850dba55f76689c2ef9490a
# SHA256
8b7e4a85e6ea41caee36f287430d45350f3be89c3b616e28bb520cd0b6d69496
# SHA256
21545028cac12fc9e8692a71247040718e6d640ee6117d1b19f4521f886586be
# SHA256
57c6178936a9099249ebaf6d831a2d2e2b767c085850dba55f76689c2ef9490a
# SHA256
8b7e4a85e6ea41caee36f287430d45350f3be89c3b616e28bb520cd0b6d69496
# MD5
2a729660806eed688b2ed1935edb07c1
# MD5
c11f9838306918f05712098355d046ec
# MD5
4e9aba2bb4aaa1d36345000c9fe5f34f
# MD5
2a729660806eed688b2ed1935edb07c1
# MD5
c11f9838306918f05712098355d046ec
# MD5
4e9aba2bb4aaa1d36345000c9fe5f34f
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 21545028cac12fc9e8692a71247040718e6d640ee6117d1b19f4521f886586be | MB:Aurora |
| sha256 | 57c6178936a9099249ebaf6d831a2d2e2b767c085850dba55f76689c2ef9490a | MB:Aurora |
| sha256 | 8b7e4a85e6ea41caee36f287430d45350f3be89c3b616e28bb520cd0b6d69496 | MB:Aurora |
| sha256 | 21545028cac12fc9e8692a71247040718e6d640ee6117d1b19f4521f886586be | MB:Aurora |
| sha256 | 57c6178936a9099249ebaf6d831a2d2e2b767c085850dba55f76689c2ef9490a | MB:Aurora |
| sha256 | 8b7e4a85e6ea41caee36f287430d45350f3be89c3b616e28bb520cd0b6d69496 | MB:Aurora |
| md5 | 2a729660806eed688b2ed1935edb07c1 | MB:Aurora |
| md5 | c11f9838306918f05712098355d046ec | MB:Aurora |
| md5 | 4e9aba2bb4aaa1d36345000c9fe5f34f | MB:Aurora |
| md5 | 2a729660806eed688b2ed1935edb07c1 | MB:Aurora |
| md5 | c11f9838306918f05712098355d046ec | MB:Aurora |
| md5 | 4e9aba2bb4aaa1d36345000c9fe5f34f | MB:Aurora |
Servidores C2 (1 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| 5.252.176.98 | ip | 8888 | HTTP | inactive | RU |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.