Manuel Statik Analiz (LLM Okumali) — Meduza Stealer | Tehdit: YUKSEK

Dosya Kimligi

SHA25698ab39899d3da5cfeebf609ec20979b51aab6e1dbd7b22a08c3acf18e7d65ab2
Yem Dosya Adigem1.exe (kiymetli tas oyun yemleri)
Boyut1.216.000 byte
Framework.NET 4.7.2
String Sayisi6.076

Obfuskasyon Analizi

Meduza Stealer, ConfuserEx (veya turev .NET obfusc) ile korunmaktadir. Sinif ve metod isimleri UUID/hex tabanli rastgele isimlerle degistirilmistir.
Obfuske edilmis isim ornekleri:
  m_0d3ac2e9800e4ee294bd65ea1ba681ea
  m_9be5a374537d4a758fbd0a6ac24bfa22
  m_c2dbf551ce4340eb93f4032e1d8ba990
  m_c6004f8ecbf34c5296d7a1bc2fbc3e2e
  m_082cd90c17884c268f0f0ad82f66e4c3
  ...

Bu obfuskasyon sekli ConfuserEx Symbol Rename koruma seviyesini gosterir. Cleartext C2, API endpoint veya config stringleri runtime'da cozulmektedir — statik string analiziyle gorunmez.

Meduza Stealer Yetenekleri (Aile)

KategoriHedefler
TarayicilarChrome, Firefox, Edge, Brave, Opera — sifre, cookie, kredi karti, oturumlar
Kripto CuzdanlarMetaMask, Exodus, Electrum, Coinomi, 30+ cuzdan
2FAAuthy, Google Authenticator gibi 2FA uygulamalari
Sifre YoneticileriKeePass, LastPass, 1Password veritabanlari
VPNNordVPN, Mullvad, ProtonVPN config dosyalari
ScreenshotAnlık masaustu goruntuleri
SistemDonanim bilgisi, Windows key, WiFi sifresi

Meduza Hakkinda

Meduza Stealer, 2023 yilinda ortaya cikan ve hizla yayilan bir C++/C# MaaS infostealerdir. Yeralt forumlarinda aylik abonelik modeliyle satilmaktadir. Akademik ve oyun alanindaki yemleri (gem1.exe gibi) ile genis bir kurban yelpazesini hedef almaktadir. Anti-VM kontrolu yaparak sandbox ortaminda calismaz.

IOC

SHA25698ab39899d3da5cfeebf609ec20979b51aab6e1dbd7b22a08c3acf18e7d65ab2
Yemgem1.exe
C2Runtime decrypt (ConfuserEx ile gizlenmis)
Framework.NET 4.7.2 + ConfuserEx

MeduzaStealer — Malware Profile

Meduza Stealer Rus C++ stealer. RUN.exe. NtQuery cift anti-debug. MinGW derlenmiş.

Malware Type
Infostealer
Programming Language
C#/.NET
C2 Protocol
HTTP/TLS
Target Systems
Kuresel — Oyun/Kripto Topluluklari

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — MeduzaStealer
# SHA256 98ab39899d3da5cfeebf609ec20979b51aab6e1dbd7b22a08c3acf18e7d65ab2
TypeValueNote
sha256 98ab39899d3da5cfeebf609ec20979b51aab6e1dbd7b22a08c3acf18e7d65ab2
Tags
meduzameduza-stealerinfostealernet-472confuserexobfuskasyonmaastarayici