Manuel Statik Analiz — Meduza Stealer | Tehdit: YUKSEK

Arquivo Kimliği

SHA2567c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nome do arquivoRUN.exe (çalıştır/başlat)
Tamanho1.549.312 byte (1.48MB)
String Sayisi21.296

Beş C2 Substring

C2 KALIPLAR:
@c2/$    -- @ prefix + c2 + dolar işareti
9&!c2    -- rakam + & + ünlem + c2
>.T^1C2$i -- büyük ok + T ^ 1 C2 $ i
&lT^1C2$Q -- & l T ^ 1 C2 $ Q
8U,c2<  -- 8 U virgül c2 küçük ok

Çift NT API Anti-Debug

NtQuerySystemInformation  -- Sistem bilgisi sorgusu (VM/debug tespiti)
NtQueryInformationProcess -- Process bilgisi sorgusu (debug port kontrolü)
-- Her ikisi NT API: Windows NT yerel (native) API
-- NtQuerySystemInformation: sistemde kaç çekirdek? Bellek boyutu?
  → Sandbox'ta düşük bellek/tek çekirdek → atla!
-- NtQueryInformationProcess: ProcessDebugPort = 0 değilse debugger var!
-- Meduza: bu iki kontrolü birlikte yapar → çift doğrulama

IOC

SHA2567c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

MeduzaStealer — Perfil do malware

Meduza Stealer Rus C++ stealer. RUN.exe. NtQuery cift anti-debug. MinGW derlenmiş.

Tipo de malware
Infostealer
Linguagem de programação
C#/.NET
Protocolo C2
HTTP/TLS
Sistemas-alvo
Kuresel — Oyun/Kripto Topluluklari

Capacidades e comportamento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (1 indicadores)

IOC — MeduzaStealer
# SHA256 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TipoValorNota
sha256 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
meduza-stealerrun-exe-genericfive-c2-substringsntquerysysteminformation-anti-debugntqueryinformationprocess-anti-debugdual-nt-apimingw-compiled