Manuel Statik Analiz — Meduza Stealer | Tehdit: YUKSEK
Arquivo Kimliği
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Nome do arquivo | RUN.exe (çalıştır/başlat) |
| Tamanho | 1.549.312 byte (1.48MB) |
| String Sayisi | 21.296 |
Beş C2 Substring
C2 KALIPLAR:
@c2/$ -- @ prefix + c2 + dolar işareti 9&!c2 -- rakam + & + ünlem + c2 >.T^1C2$i -- büyük ok + T ^ 1 C2 $ i &lT^1C2$Q -- & l T ^ 1 C2 $ Q 8U,c2< -- 8 U virgül c2 küçük ok
Çift NT API Anti-Debug
NtQuerySystemInformation -- Sistem bilgisi sorgusu (VM/debug tespiti) NtQueryInformationProcess -- Process bilgisi sorgusu (debug port kontrolü) -- Her ikisi NT API: Windows NT yerel (native) API -- NtQuerySystemInformation: sistemde kaç çekirdek? Bellek boyutu? → Sandbox'ta düşük bellek/tek çekirdek → atla! -- NtQueryInformationProcess: ProcessDebugPort = 0 değilse debugger var! -- Meduza: bu iki kontrolü birlikte yapar → çift doğrulama
IOC
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|
MeduzaStealer — Perfil do malware
Meduza Stealer Rus C++ stealer. RUN.exe. NtQuery cift anti-debug. MinGW derlenmiş.
Tipo de malware
Infostealer
Linguagem de programação
C#/.NET
Protocolo C2
HTTP/TLS
Sistemas-alvo
Kuresel — Oyun/Kripto Topluluklari
Capacidades e comportamento
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
Lista IOC (1 indicadores)
IOC — MeduzaStealer
# SHA256
7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |