Manuel Statik Analiz — Meduza Stealer | Tehdit: YUKSEK

文件 Kimliği

SHA2567c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
文件名RUN.exe (çalıştır/başlat)
大小1.549.312 byte (1.48MB)
String Sayisi21.296

Beş C2 Substring

C2 KALIPLAR:
@c2/$    -- @ prefix + c2 + dolar işareti
9&!c2    -- rakam + & + ünlem + c2
>.T^1C2$i -- büyük ok + T ^ 1 C2 $ i
&lT^1C2$Q -- & l T ^ 1 C2 $ Q
8U,c2<  -- 8 U virgül c2 küçük ok

Çift NT API Anti-Debug

NtQuerySystemInformation  -- Sistem bilgisi sorgusu (VM/debug tespiti)
NtQueryInformationProcess -- Process bilgisi sorgusu (debug port kontrolü)
-- Her ikisi NT API: Windows NT yerel (native) API
-- NtQuerySystemInformation: sistemde kaç çekirdek? Bellek boyutu?
  → Sandbox'ta düşük bellek/tek çekirdek → atla!
-- NtQueryInformationProcess: ProcessDebugPort = 0 değilse debugger var!
-- Meduza: bu iki kontrolü birlikte yapar → çift doğrulama

IOC

SHA2567c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

MeduzaStealer — 恶意软件档案

Meduza Stealer Rus C++ stealer. RUN.exe. NtQuery cift anti-debug. MinGW derlenmiş.

恶意软件类型
Infostealer
编程语言
C#/.NET
C2协议
HTTP/TLS
目标系统
Kuresel — Oyun/Kripto Topluluklari

能力与行为

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC列表 (1 个指标)

IOC — MeduzaStealer
# SHA256 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
类型备注
sha256 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
标签
meduza-stealerrun-exe-genericfive-c2-substringsntquerysysteminformation-anti-debugntqueryinformationprocess-anti-debugdual-nt-apimingw-compiled