Manuel Statik Analiz — Meduza Stealer | Tehdit: ORTA

Dosya Kimliği

SHA2567c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıRUN.exe
Boyut1.549.312 byte (1.5MB)
String Sayisi21.296

Generik RUN.exe Kılığı

RUN.exe
-- Maksimum generik isim → kayıp dosyalar arasında gizlenir
-- "RUN" = çalıştır → sosyal mühendislik talimatıyla dağıtılıyor
-- "RUN.exe dosyasını çalıştır" talimatı ile phishing/courier fraud

C2 URL Yolu: @c2/$

@c2/$
-- C2 URL yapısı: http(s)://[IP veya domain]/@c2/$
-- "@" karakteri URL'de kullanıcı adı ayrımcısı (bypass girişimi?)
-- "$" = PHP değişken prefix veya endpoint marker
-- Meduza obfuskated C2 URL formatı: IP adresi şifreli, sadece path görünüyor

IP Adres Obfuskasyon Dizileri

ipBU7    -- "ip" prefix + obfuskated değer
BfglIp   -- karıştırılmış "ip" içeren string
aIp05    -- "Ip" (büyük P) içeren token
-- Meduza C2 IP adresini XOR/RC4 ile şifreli tutar
-- Runtime'da decode edilip socket bağlantısı kurulur
-- Statik analizde IP/domain görünmez → evasion başarılı

NT API Anti-Analiz

NtQuerySystemInformation    -- kernel debug + CPU bilgisi
NtQueryInformationProcess (ntdll.dll) -- ProcessDebugPort
-- ntdll.dll'den direkt NT API çağrısı → EDR hook bypass

Meduza Stealer Hakkında

Meduza Stealer 2023'te Rus yeraltı forumlarında satışa çıktı. Tarayıcı şifreleri, kripto cüzdanları, 2FA authenticator veritabanları, VPN/FTP credentials, oyun hesapları hedef alır. Chrome, Firefox, Opera, Edge, Brave destekler. Discord, Telegram, Steam hesaplarını çalar. C++ ile yazılmış, packer/crypter ile dağıtılır.

IOC

SHA2567c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureRUN.exe (generik çalıştır komutu)
C2 Pattern@c2/$ (obfuskated)

Meduza2 — Malware Profile

Meduza Stealer 2023 Rus underground. @c2/$ URL. Browser passwords 2FA VPN Steam Discord. C++ obfuskated IP.

Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — Meduza2
# SHA256 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
meduza-stealerrun-exe-genericc2-dollar-pathntquerysysteminfontqueryinformationprocess-ntdllobfuscated-ip-strings