Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK
Arquivo Kimliği
| SHA256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
|---|---|
| Tamanho | 424.960 byte |
| String Sayisi | 1.955 |
RC2 Şifreli C2 Konfigürasyonu
UYHpaLVt70vXFurc2i== -- RC2 şifreli C2 base64 config ("rc2i" = RC2 ipucu)
Kc2AO79p8EXmasVPiZGhDjr97CEu4MR9fCnl -- Şifreli C2 parametresi
Bitcoin Cüzdan
13PRRAgr5cVmfZP3O8Vt7kXmavTggpSl13V -- Amadey affiliate BTC cüzdan
Amadey Hakkında
Amadey, 2018'den beri aktif C++ tabanlı bir loader ailesidir. Plugin sistemi ile bilgi hırsızlığı modülleri indirip çalıştırır. RedLine, Vidar, LummaC2 gibi stealerlar için ilk erişim aracı olarak kullanılır. Underground forumlarda satılmakta ve büyük botnet kampanyalarında yer almaktadır.
IOC
| SHA256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
|---|---|
| BTC Cüzdan | 13PRRAgr5cVmfZP3O8Vt7kXmavTggpSl13V |
| Kalıcılık | RegSetValueExA |
Amadey — Perfil do malware
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
Tipo de malware
Loader
Linguagem de programação
C
Protocolo C2
HTTP
Sistemas-alvo
Windows
Capacidades e comportamento
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Lista IOC (1 indicadores)
IOC — Amadey
# SHA256
c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
Servidores C2 (1 servidores registrados para esta família)
| Endereço | Tipo | Porta | Protocolo | Status | País |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.