Manuel Statik Analiz — Meduza Stealer | Tehdit: YUKSEK

ファイル Kimliği

SHA2567c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
ファイル名RUN.exe (çalıştır/başlat)
サイズ1.549.312 byte (1.48MB)
String Sayisi21.296

Beş C2 Substring

C2 KALIPLAR:
@c2/$    -- @ prefix + c2 + dolar işareti
9&!c2    -- rakam + & + ünlem + c2
>.T^1C2$i -- büyük ok + T ^ 1 C2 $ i
&lT^1C2$Q -- & l T ^ 1 C2 $ Q
8U,c2<  -- 8 U virgül c2 küçük ok

Çift NT API Anti-Debug

NtQuerySystemInformation  -- Sistem bilgisi sorgusu (VM/debug tespiti)
NtQueryInformationProcess -- Process bilgisi sorgusu (debug port kontrolü)
-- Her ikisi NT API: Windows NT yerel (native) API
-- NtQuerySystemInformation: sistemde kaç çekirdek? Bellek boyutu?
  → Sandbox'ta düşük bellek/tek çekirdek → atla!
-- NtQueryInformationProcess: ProcessDebugPort = 0 değilse debugger var!
-- Meduza: bu iki kontrolü birlikte yapar → çift doğrulama

IOC

SHA2567c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

MeduzaStealer — マルウェアプロファイル

Meduza Stealer Rus C++ stealer. RUN.exe. NtQuery cift anti-debug. MinGW derlenmiş.

マルウェアの種類
Infostealer
プログラミング言語
C#/.NET
C2プロトコル
HTTP/TLS
標的システム
Kuresel — Oyun/Kripto Topluluklari

機能と挙動

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOCリスト (1 件の指標)

IOC — MeduzaStealer
# SHA256 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
タイプメモ
sha256 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
タグ
meduza-stealerrun-exe-genericfive-c2-substringsntquerysysteminformation-anti-debugntqueryinformationprocess-anti-debugdual-nt-apimingw-compiled