Manuel Statik Analiz — Meduza Stealer | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | RUN.exe |
| Boyut | 1.549.312 byte (1.5MB) |
| String Sayisi | 21.296 |
Generik RUN.exe Kılığı
RUN.exe -- Maksimum generik isim → kayıp dosyalar arasında gizlenir -- "RUN" = çalıştır → sosyal mühendislik talimatıyla dağıtılıyor -- "RUN.exe dosyasını çalıştır" talimatı ile phishing/courier fraud
C2 URL Yolu: @c2/$
@c2/$ -- C2 URL yapısı: http(s)://[IP veya domain]/@c2/$ -- "@" karakteri URL'de kullanıcı adı ayrımcısı (bypass girişimi?) -- "$" = PHP değişken prefix veya endpoint marker -- Meduza obfuskated C2 URL formatı: IP adresi şifreli, sadece path görünüyor
IP Adres Obfuskasyon Dizileri
ipBU7 -- "ip" prefix + obfuskated değer BfglIp -- karıştırılmış "ip" içeren string aIp05 -- "Ip" (büyük P) içeren token -- Meduza C2 IP adresini XOR/RC4 ile şifreli tutar -- Runtime'da decode edilip socket bağlantısı kurulur -- Statik analizde IP/domain görünmez → evasion başarılı
NT API Anti-Analiz
NtQuerySystemInformation -- kernel debug + CPU bilgisi NtQueryInformationProcess (ntdll.dll) -- ProcessDebugPort -- ntdll.dll'den direkt NT API çağrısı → EDR hook bypass
Meduza Stealer Hakkında
Meduza Stealer 2023'te Rus yeraltı forumlarında satışa çıktı. Tarayıcı şifreleri, kripto cüzdanları, 2FA authenticator veritabanları, VPN/FTP credentials, oyun hesapları hedef alır. Chrome, Firefox, Opera, Edge, Brave destekler. Discord, Telegram, Steam hesaplarını çalar. C++ ile yazılmış, packer/crypter ile dağıtılır.
IOC
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | RUN.exe (generik çalıştır komutu) |
| C2 Pattern | @c2/$ (obfuskated) |
Meduza2 — Malware Profile
Meduza Stealer 2023 Rus underground. @c2/$ URL. Browser passwords 2FA VPN Steam Discord. C++ obfuskated IP.
Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — Meduza2
# SHA256
7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |