Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK

Datei Kimliği

SHA256c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3
Größe424.960 byte
String Sayisi1.955

RC2 Şifreli C2 Konfigürasyonu

UYHpaLVt70vXFurc2i==  -- RC2 şifreli C2 base64 config ("rc2i" = RC2 ipucu)
Kc2AO79p8EXmasVPiZGhDjr97CEu4MR9fCnl  -- Şifreli C2 parametresi

Bitcoin Cüzdan

13PRRAgr5cVmfZP3O8Vt7kXmavTggpSl13V  -- Amadey affiliate BTC cüzdan

Amadey Hakkında

Amadey, 2018'den beri aktif C++ tabanlı bir loader ailesidir. Plugin sistemi ile bilgi hırsızlığı modülleri indirip çalıştırır. RedLine, Vidar, LummaC2 gibi stealerlar için ilk erişim aracı olarak kullanılır. Underground forumlarda satılmakta ve büyük botnet kampanyalarında yer almaktadır.

IOC

SHA256c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3
BTC Cüzdan13PRRAgr5cVmfZP3O8Vt7kXmavTggpSl13V
KalıcılıkRegSetValueExA

Amadey — Malware-Profil

Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.

Malware-Typ
Loader
Programmiersprache
C
C2-Protokoll
HTTP
Zielsysteme
Windows

Fähigkeiten & Verhalten

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC-Liste (1 Indikatoren)

IOC — Amadey
# SHA256 c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3
TypWertBemerkung
sha256 c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3

C2-Server (1 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
196.251.107.104 ip 80 HTTP active —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
amadeyloaderrc2registry-persistencebtc-wallet