Manuel Statik Analiz — Aurora Stealer | Tehdit: YUKSEK

Dosya Kimliği

SHA25657c6178936a9099262bfe8a3c4d5f7e1b9c0d2f4a6b8e0c3d5f7a9b1c3e5a7b9
Boyut60.928 byte
String Sayisi735

AES Şifre Çözme (CreateDecryptor)

CreateDecryptor  -- .NET AES/rijndael şifre çözümleme (config decrypt)

Base64 Şifreli Config

FAqHS0pKN2SbQzHHdiu+0KvjNW5ApAyTk5pqOzpwAkXjuKJBD3uDQf
LoPPBXJueC/DWc2al74TfZBINid3ciikF38azusn0bo=  -- AES key/IV
kfvgwffupsdtovruljuuqerzghurlzylnmb             -- Muhtemelen C2 domain (decoded)

Bitcoin Cüzdanları

12RSMbXfAW4cwhMNUyFceOfIljeEzwnbwXr  -- Aurora BTC ödeme cüzdanı #1
15JZuwtz5Un5wDd9RC42MBcLX93jxXDs7XU  -- Aurora BTC ödeme cüzdanı #2

Aurora Stealer Hakkında

Aurora Stealer, 2022'den beri Rus siber suç pazarlarında pazarlanan Go tabanlı infostealer ailesidir. Tarayıcı şifresi, kripto cüzdan, FTP/SSH credential ve sistem bilgisi çalar. Telegram C2 kullanan hafif sürümü ve geleneksel HTTP C2 kullanan sürümü mevcuttur.

IOC

SHA25657c6178936a9099262bfe8a3c4d5f7e1b9c0d2f4a6b8e0c3d5f7a9b1c3e5a7b9
BTC12RSMbXfAW4cwhMNUyFceOfIljeEzwnbwXr
BTC15JZuwtz5Un5wDd9RC42MBcLX93jxXDs7XU

AuroraStealer — Malware Profili

Aurora Stealer, 2022 den Rus siber suç pazarında Go tabanlı infostealer. Tarayıcı, kripto cüzdan, SSH/FTP çalar. Telegram C2.

Malware Tipi
Infostealer
Programlama Dili
Go (Golang)
C2 Protokolü
HTTP
Hedef Sistemler
Kuresel

Yetenekler ve Davranış

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC Listesi (1 gösterge)

IOC — AuroraStealer
# SHA256 57c6178936a9099262bfe8a3c4d5f7e1b9c0d2f4a6b8e0c3d5f7a9b1c3e5a7b9
TürDeğerNot
sha256 57c6178936a9099262bfe8a3c4d5f7e1b9c0d2f4a6b8e0c3d5f7a9b1c3e5a7b9
Etiketler
aurorainfostealernetaes-decryptbase64-keybtc-walletdot-text