Manuel Statik Analiz (LLM Okumali) — Meduza Stealer | Tehdit: YUKSEK
Dosya Kimligi
| SHA256 | 98ab39899d3da5cfeebf609ec20979b51aab6e1dbd7b22a08c3acf18e7d65ab2 |
|---|---|
| Yem Dosya Adi | gem1.exe (kiymetli tas oyun yemleri) |
| Boyut | 1.216.000 byte |
| Framework | .NET 4.7.2 |
| String Sayisi | 6.076 |
Obfuskasyon Analizi
Meduza Stealer, ConfuserEx (veya turev .NET obfusc) ile korunmaktadir. Sinif ve metod isimleri UUID/hex tabanli rastgele isimlerle degistirilmistir.
Obfuske edilmis isim ornekleri: m_0d3ac2e9800e4ee294bd65ea1ba681ea m_9be5a374537d4a758fbd0a6ac24bfa22 m_c2dbf551ce4340eb93f4032e1d8ba990 m_c6004f8ecbf34c5296d7a1bc2fbc3e2e m_082cd90c17884c268f0f0ad82f66e4c3 ...
Bu obfuskasyon sekli ConfuserEx Symbol Rename koruma seviyesini gosterir. Cleartext C2, API endpoint veya config stringleri runtime'da cozulmektedir — statik string analiziyle gorunmez.
Meduza Stealer Yetenekleri (Aile)
| Kategori | Hedefler |
|---|---|
| Tarayicilar | Chrome, Firefox, Edge, Brave, Opera — sifre, cookie, kredi karti, oturumlar |
| Kripto Cuzdanlar | MetaMask, Exodus, Electrum, Coinomi, 30+ cuzdan |
| 2FA | Authy, Google Authenticator gibi 2FA uygulamalari |
| Sifre Yoneticileri | KeePass, LastPass, 1Password veritabanlari |
| VPN | NordVPN, Mullvad, ProtonVPN config dosyalari |
| Screenshot | Anlık masaustu goruntuleri |
| Sistem | Donanim bilgisi, Windows key, WiFi sifresi |
Meduza Hakkinda
Meduza Stealer, 2023 yilinda ortaya cikan ve hizla yayilan bir C++/C# MaaS infostealerdir. Yeralt forumlarinda aylik abonelik modeliyle satilmaktadir. Akademik ve oyun alanindaki yemleri (gem1.exe gibi) ile genis bir kurban yelpazesini hedef almaktadir. Anti-VM kontrolu yaparak sandbox ortaminda calismaz.
IOC
| SHA256 | 98ab39899d3da5cfeebf609ec20979b51aab6e1dbd7b22a08c3acf18e7d65ab2 |
|---|---|
| Yem | gem1.exe |
| C2 | Runtime decrypt (ConfuserEx ile gizlenmis) |
| Framework | .NET 4.7.2 + ConfuserEx |
MeduzaStealer — Malware Profile
Meduza Stealer Rus C++ stealer. RUN.exe. NtQuery cift anti-debug. MinGW derlenmiş.
Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTP/TLS
Target Systems
Kuresel — Oyun/Kripto Topluluklari
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — MeduzaStealer
# SHA256
98ab39899d3da5cfeebf609ec20979b51aab6e1dbd7b22a08c3acf18e7d65ab2
| Type | Value | Note |
|---|---|---|
| sha256 | 98ab39899d3da5cfeebf609ec20979b51aab6e1dbd7b22a08c3acf18e7d65ab2 |