Manuel Statik Analiz — Aurora Stealer | Tehdit: YUKSEK

Dosya Kimliği

SHA25657c6178936a9099262bfe8a3c4d5f7e1b9c0d2f4a6b8e0c3d5f7a9b1c3e5a7b9
Boyut60.928 byte
String Sayisi735

AES Şifre Çözme (CreateDecryptor)

CreateDecryptor  -- .NET AES/rijndael şifre çözümleme (config decrypt)

Base64 Şifreli Config

FAqHS0pKN2SbQzHHdiu+0KvjNW5ApAyTk5pqOzpwAkXjuKJBD3uDQf
LoPPBXJueC/DWc2al74TfZBINid3ciikF38azusn0bo=  -- AES key/IV
kfvgwffupsdtovruljuuqerzghurlzylnmb             -- Muhtemelen C2 domain (decoded)

Bitcoin Cüzdanları

12RSMbXfAW4cwhMNUyFceOfIljeEzwnbwXr  -- Aurora BTC ödeme cüzdanı #1
15JZuwtz5Un5wDd9RC42MBcLX93jxXDs7XU  -- Aurora BTC ödeme cüzdanı #2

Aurora Stealer Hakkında

Aurora Stealer, 2022'den beri Rus siber suç pazarlarında pazarlanan Go tabanlı infostealer ailesidir. Tarayıcı şifresi, kripto cüzdan, FTP/SSH credential ve sistem bilgisi çalar. Telegram C2 kullanan hafif sürümü ve geleneksel HTTP C2 kullanan sürümü mevcuttur.

IOC

SHA25657c6178936a9099262bfe8a3c4d5f7e1b9c0d2f4a6b8e0c3d5f7a9b1c3e5a7b9
BTC12RSMbXfAW4cwhMNUyFceOfIljeEzwnbwXr
BTC15JZuwtz5Un5wDd9RC42MBcLX93jxXDs7XU

AuroraStealer — Malware Profile

Aurora Stealer, 2022 den Rus siber suç pazarında Go tabanlı infostealer. Tarayıcı, kripto cüzdan, SSH/FTP çalar. Telegram C2.

Malware Type
Infostealer
Programming Language
Go (Golang)
C2 Protocol
HTTP
Target Systems
Kuresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — AuroraStealer
# SHA256 57c6178936a9099262bfe8a3c4d5f7e1b9c0d2f4a6b8e0c3d5f7a9b1c3e5a7b9
TypeValueNote
sha256 57c6178936a9099262bfe8a3c4d5f7e1b9c0d2f4a6b8e0c3d5f7a9b1c3e5a7b9
Tags
aurorainfostealernetaes-decryptbase64-keybtc-walletdot-text