Manuel Statik Analiz — Meduza Stealer | Tehdit: YUKSEK

Dosya Kimliği

SHA2567c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıRUN.exe (çalıştır/başlat)
Boyut1.549.312 byte (1.48MB)
String Sayisi21.296

Beş C2 Substring

C2 KALIPLAR:
@c2/$    -- @ prefix + c2 + dolar işareti
9&!c2    -- rakam + & + ünlem + c2
>.T^1C2$i -- büyük ok + T ^ 1 C2 $ i
&lT^1C2$Q -- & l T ^ 1 C2 $ Q
8U,c2<  -- 8 U virgül c2 küçük ok

Çift NT API Anti-Debug

NtQuerySystemInformation  -- Sistem bilgisi sorgusu (VM/debug tespiti)
NtQueryInformationProcess -- Process bilgisi sorgusu (debug port kontrolü)
-- Her ikisi NT API: Windows NT yerel (native) API
-- NtQuerySystemInformation: sistemde kaç çekirdek? Bellek boyutu?
  → Sandbox'ta düşük bellek/tek çekirdek → atla!
-- NtQueryInformationProcess: ProcessDebugPort = 0 değilse debugger var!
-- Meduza: bu iki kontrolü birlikte yapar → çift doğrulama

IOC

SHA2567c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

MeduzaStealer — Malware Profile

Meduza Stealer Rus C++ stealer. RUN.exe. NtQuery cift anti-debug. MinGW derlenmiş.

Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTP/TLS
Target Systems
Kuresel — Oyun/Kripto Topluluklari

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — MeduzaStealer
# SHA256 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
meduza-stealerrun-exe-genericfive-c2-substringsntquerysysteminformation-anti-debugntqueryinformationprocess-anti-debugdual-nt-apimingw-compiled