Aurora | Уровень угрозы: high | Тип: Infostealer

Криптографические идентификаторы

SHA25621545028cac12fc9e8692a71247040718e6d640ee6117d1b19f4521f886586be
MD52a729660806eed688b2ed1935edb07c1
Тип файлаexe
Размер3041.0 KB
Первое обнаружение2025-04-17
Имя файлаAurora.exe
МеткиAurora, AuroraStealer, exe, stealer

Семейство вредоносного ПО: Aurora

Aurora, Go diliyle yazıldı.

ТипInfostealer
Язык программированияGo
Целевая платформаWindows
Протокол C2HTTP
НазначениеGo infostealer
Год первого обнаружения2022

Индикаторы компрометации (IOC)

  • SHA256: 21545028cac12fc9e8692a71247040718e6d640ee6117d1b19f4521f886586be
  • MD5: 2a729660806eed688b2ed1935edb07c1

Вы можете проверить все хеш-значения этого образца на VirusTotal.

Руководство по очистке системы

  1. Немедленно отключите систему от сети
  2. Yeni bir cihazdan banka hesabı, sosyal medya ve e-posta şifrelerini değiştirin
  3. Переведите криптокошельки на новый адрес, старые больше не используйте
  4. Запустите полное сканирование актуальным антивирусом
  5. Очистите сохранённые в браузере пароли и включите 2FA
  6. Завершите все сеансы во всех затронутых сервисах

Подсказки для YARA-правил

rule Aurora_SHA256 {
    meta:
        description = "Aurora sample: 21545028cac12fc9"
        threat_level = "high"
        first_seen = "2025-04-17"
    condition:
        hash.sha256(0, filesize) == "21545028cac12fc9e8692a71247040718e6d640ee6117d1b19f4521f886586be"
}

Aurora — Профиль вредоносного ПО

Aurora, Go diliyle yazıldı.

Тип вредоносного ПО
Infostealer
Язык программирования
Go
C2 Протокол
HTTP
Целевые системы
Windows

Технические детали

Go dili, HTTP/HTTPS C2, browser stealer (Chromium/Firefox/Brave), kripto wallet scraper, clipboard hijacker, screenshot, Discord/Telegram token stealer, anti-debug (timing check)

Возможности и поведение

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Список IOC (2 индикаторов)

IOC — Aurora
# SHA256 21545028cac12fc9e8692a71247040718e6d640ee6117d1b19f4521f886586be # MD5 2a729660806eed688b2ed1935edb07c1
ТипЗначениеПримечание
sha256 21545028cac12fc9e8692a71247040718e6d640ee6117d1b19f4521f886586be Sample:Aurora
md5 2a729660806eed688b2ed1935edb07c1 Sample:Aurora

C2 Серверы (1 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
5.252.176.98 ip 8888 HTTP inactive RU

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
aurorainfostealermalwarehighsha256hash-analizi