Manuel Statik Analiz (LLM Okumali) — Aurora Stealer | Tehdit: YUKSEK

Dosya Kimligi

SHA25657c6178936a9099249ebaf6d831a2d2e2b767c085850dba10e3f8c4d21cf7e3a
Paket AdiC4Client.rar (C4 = Command and Control Client?)
Boyut138.478 byte (sikistirilmis)
String Sayisi611 (agir paketli — Go binary normalde binlerce string icerir)

Analiz Bulgulari

Aurora Stealer Go ile yazilmistir; Go binaryleri statik linkli oldugu icin normalde cok fazla string icerirler. Bu ornekte yalnizca 611 string bulunmasi, ozel bir packer veya UPX custom stub kullanimina isaret etmektedir. C4Client RAR paketi adi dikkat cekicidir — muhtemelen C2 panel "client" bileseninin ismini altiyor.

Aurora Stealer Yetenekleri (Aile)

KategoriHedefler
TarayicilarChrome, Firefox, Edge, Brave — sifre, cookie, kredi karti
Kripto CuzdanlarMetaMask, Phantom, Solflare, Keplr, 40+ cuzdan uzantisi
FTP/EmailFileZilla, Outlook, Thunderbird
ScreenshotMasaustu goruntuleri
SistemDonanim ID, OS versiyonu, GPU bilgisi

Aurora Hakkinda

Aurora Stealer, 2022 yilinda Golang ile yazilmis ve underground forumlarda $250/ay gibi ucretlerle satilan bir MaaS infostealerdir. Birden fazla aile ile kariyasi zaman zaman olsa da kendi panel altyapisi ile ayirt edilir. Anti-VM kontrolu yaparak sandbox ortaminda calismaz.

IOC

SHA25657c6178936a9099249ebaf6d831a2d2e2b767c085850dba10e3f8c4d21cf7e3a
PaketC4Client.rar
DilGo (Golang)
C2Packer ile gizlenmis (runtime decrypt)

AuroraStealer — Malware Profile

Aurora Stealer, 2022 den Rus siber suç pazarında Go tabanlı infostealer. Tarayıcı, kripto cüzdan, SSH/FTP çalar. Telegram C2.

Malware Type
Infostealer
Programming Language
Go (Golang)
C2 Protocol
HTTP
Target Systems
Kuresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — AuroraStealer
# SHA256 57c6178936a9099249ebaf6d831a2d2e2b767c085850dba10e3f8c4d21cf7e3a
TypeValueNote
sha256 57c6178936a9099249ebaf6d831a2d2e2b767c085850dba10e3f8c4d21cf7e3a
Tags
auroraaurora-stealergogolanginfostealerrarc4clientmaas