Manuel Statik Analiz — Meduza Stealer | Tehdit: YUKSEK
Datei Kimliği
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dateiname | RUN.exe (çalıştır/başlat) |
| Größe | 1.549.312 byte (1.48MB) |
| String Sayisi | 21.296 |
Beş C2 Substring
C2 KALIPLAR:
@c2/$ -- @ prefix + c2 + dolar işareti 9&!c2 -- rakam + & + ünlem + c2 >.T^1C2$i -- büyük ok + T ^ 1 C2 $ i &lT^1C2$Q -- & l T ^ 1 C2 $ Q 8U,c2< -- 8 U virgül c2 küçük ok
Çift NT API Anti-Debug
NtQuerySystemInformation -- Sistem bilgisi sorgusu (VM/debug tespiti) NtQueryInformationProcess -- Process bilgisi sorgusu (debug port kontrolü) -- Her ikisi NT API: Windows NT yerel (native) API -- NtQuerySystemInformation: sistemde kaç çekirdek? Bellek boyutu? → Sandbox'ta düşük bellek/tek çekirdek → atla! -- NtQueryInformationProcess: ProcessDebugPort = 0 değilse debugger var! -- Meduza: bu iki kontrolü birlikte yapar → çift doğrulama
IOC
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|
MeduzaStealer — Malware-Profil
Meduza Stealer Rus C++ stealer. RUN.exe. NtQuery cift anti-debug. MinGW derlenmiş.
Malware-Typ
Infostealer
Programmiersprache
C#/.NET
C2-Protokoll
HTTP/TLS
Zielsysteme
Kuresel — Oyun/Kripto Topluluklari
Fähigkeiten & Verhalten
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC-Liste (1 Indikatoren)
IOC — MeduzaStealer
# SHA256
7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |