Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
|---|---|
| Taille | 424.960 byte |
| String Sayisi | 1.955 |
RC2 Şifreli C2 Konfigürasyonu
UYHpaLVt70vXFurc2i== -- RC2 şifreli C2 base64 config ("rc2i" = RC2 ipucu)
Kc2AO79p8EXmasVPiZGhDjr97CEu4MR9fCnl -- Şifreli C2 parametresi
Bitcoin Cüzdan
13PRRAgr5cVmfZP3O8Vt7kXmavTggpSl13V -- Amadey affiliate BTC cüzdan
Amadey Hakkında
Amadey, 2018'den beri aktif C++ tabanlı bir loader ailesidir. Plugin sistemi ile bilgi hırsızlığı modülleri indirip çalıştırır. RedLine, Vidar, LummaC2 gibi stealerlar için ilk erişim aracı olarak kullanılır. Underground forumlarda satılmakta ve büyük botnet kampanyalarında yer almaktadır.
IOC
| SHA256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
|---|---|
| BTC Cüzdan | 13PRRAgr5cVmfZP3O8Vt7kXmavTggpSl13V |
| Kalıcılık | RegSetValueExA |
Amadey — Profil du malware
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
Type de malware
Loader
Langage de programmation
C
Protocole C2
HTTP
Systèmes ciblés
Windows
Capacités et comportement
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Liste IOC (1 indicateurs)
IOC — Amadey
# SHA256
c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3
| Type | Valeur | Note |
|---|---|---|
| sha256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
Serveurs C2 (1 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.