Manuel Statik Analiz — Amadey Loader | Tehdit: YUKSEK
Archivo Kimliği
| SHA256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
|---|---|
| Tamaño | 424.960 byte |
| String Sayisi | 1.955 |
RC2 Şifreli C2 Konfigürasyonu
UYHpaLVt70vXFurc2i== -- RC2 şifreli C2 base64 config ("rc2i" = RC2 ipucu)
Kc2AO79p8EXmasVPiZGhDjr97CEu4MR9fCnl -- Şifreli C2 parametresi
Bitcoin Cüzdan
13PRRAgr5cVmfZP3O8Vt7kXmavTggpSl13V -- Amadey affiliate BTC cüzdan
Amadey Hakkında
Amadey, 2018'den beri aktif C++ tabanlı bir loader ailesidir. Plugin sistemi ile bilgi hırsızlığı modülleri indirip çalıştırır. RedLine, Vidar, LummaC2 gibi stealerlar için ilk erişim aracı olarak kullanılır. Underground forumlarda satılmakta ve büyük botnet kampanyalarında yer almaktadır.
IOC
| SHA256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
|---|---|
| BTC Cüzdan | 13PRRAgr5cVmfZP3O8Vt7kXmavTggpSl13V |
| Kalıcılık | RegSetValueExA |
Amadey — Perfil del malware
Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.
Tipo de malware
Loader
Lenguaje de programación
C
Protocolo C2
HTTP
Sistemas objetivo
Windows
Capacidades y comportamiento
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Lista IOC (1 indicadores)
IOC — Amadey
# SHA256
c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | c942ecd62cc2de17e1f3a8b5c2d7e4f9a0b3c6d8e1f4a7b0c2d5e8f1a4b7c0d3 |
Servidores C2 (1 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| 196.251.107.104 | ip | 80 | HTTP | active | — |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.