Manuel Statik Analiz — Meduza Stealer | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | RUN.exe (çalıştır/başlat) |
| Boyut | 1.549.312 byte (1.48MB) |
| String Sayisi | 21.296 |
Beş C2 Substring
C2 KALIPLAR:
@c2/$ -- @ prefix + c2 + dolar işareti 9&!c2 -- rakam + & + ünlem + c2 >.T^1C2$i -- büyük ok + T ^ 1 C2 $ i &lT^1C2$Q -- & l T ^ 1 C2 $ Q 8U,c2< -- 8 U virgül c2 küçük ok
Çift NT API Anti-Debug
NtQuerySystemInformation -- Sistem bilgisi sorgusu (VM/debug tespiti) NtQueryInformationProcess -- Process bilgisi sorgusu (debug port kontrolü) -- Her ikisi NT API: Windows NT yerel (native) API -- NtQuerySystemInformation: sistemde kaç çekirdek? Bellek boyutu? → Sandbox'ta düşük bellek/tek çekirdek → atla! -- NtQueryInformationProcess: ProcessDebugPort = 0 değilse debugger var! -- Meduza: bu iki kontrolü birlikte yapar → çift doğrulama
IOC
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|
MeduzaStealer — Malware Profile
Meduza Stealer Rus C++ stealer. RUN.exe. NtQuery cift anti-debug. MinGW derlenmiş.
Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTP/TLS
Target Systems
Kuresel — Oyun/Kripto Topluluklari
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — MeduzaStealer
# SHA256
7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |