Manuel Statik Analiz — Meduza Stealer | Tehdit: MITTEL
Datei Kimliği
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dateiname | RUN.exe |
| Größe | 1.549.312 byte (1.5MB) |
| String Sayisi | 21.296 |
Generik RUN.exe Kılığı
RUN.exe -- Maksimum generik isim → kayıp dosyalar arasında gizlenir -- "RUN" = çalıştır → sosyal mühendislik talimatıyla dağıtılıyor -- "RUN.exe dosyasını çalıştır" talimatı ile phishing/courier fraud
C2 URL Yolu: @c2/$
@c2/$ -- C2 URL yapısı: http(s)://[IP veya domain]/@c2/$ -- "@" karakteri URL'de kullanıcı adı ayrımcısı (bypass girişimi?) -- "$" = PHP değişken prefix veya endpoint marker -- Meduza obfuskated C2 URL formatı: IP adresi şifreli, sadece path görünüyor
IP Adres Obfuskasyon Dizileri
ipBU7 -- "ip" prefix + obfuskated değer BfglIp -- karıştırılmış "ip" içeren string aIp05 -- "Ip" (büyük P) içeren token -- Meduza C2 IP adresini XOR/RC4 ile şifreli tutar -- Runtime'da decode edilip socket bağlantısı kurulur -- Statik analizde IP/domain görünmez → evasion başarılı
NT API Anti-Analiz
NtQuerySystemInformation -- kernel debug + CPU bilgisi NtQueryInformationProcess (ntdll.dll) -- ProcessDebugPort -- ntdll.dll'den direkt NT API çağrısı → EDR hook bypass
Meduza Stealer Hakkında
Meduza Stealer 2023'te Rus yeraltı forumlarında satışa çıktı. Tarayıcı şifreleri, kripto cüzdanları, 2FA authenticator veritabanları, VPN/FTP credentials, oyun hesapları hedef alır. Chrome, Firefox, Opera, Edge, Brave destekler. Discord, Telegram, Steam hesaplarını çalar. C++ ile yazılmış, packer/crypter ile dağıtılır.
IOC
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | RUN.exe (generik çalıştır komutu) |
| C2 Pattern | @c2/$ (obfuskated) |
Meduza2 — Malware-Profil
Meduza Stealer 2023 Rus underground. @c2/$ URL. Browser passwords 2FA VPN Steam Discord. C++ obfuskated IP.
Malware-Typ
Infostealer
Programmiersprache
C++
C2-Protokoll
HTTPS
Zielsysteme
Küresel
Fähigkeiten & Verhalten
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC-Liste (1 Indikatoren)
IOC — Meduza2
# SHA256
7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |