Manuel Statik Analiz (LLM Okumali) — Amadey Loader | Tehdit: YUKSEK

Dosya Kimligi

SHA256d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
DilC (native PE32)
Boyut40.960 byte

Amadey Loader Hakkinda

Amadey, 2018'den beri underground forumlarda MaaS olarak satilan bir C tabanlı loaderdir. Kucuk boyutu (genellikle 40-80KB) ve moduler yapisiyla ozellikle dikkat ceker. Cikan ornekte binary agir paketlenmis; HTTP C2 gate adresi runtime'da decrypt edilmektedir.

Amadey Yetenekleri

YetenekDetay
HTTP Gate C2POST /index.php — bilgi gonderimi ve komut alma
Sistem BilgisiOS, CPU, RAM, kullanici adi, dil toplama
Plugin YuklemeEk credential stealer pluginleri indirebilir
Payload DropEk malware aileleri indirir (RedLine, Vidar, LummaC2)
ScreenshotEkran goruntusu alabilir
PersistenceRegistry Run Key, Task Scheduler
AntianalizVM/sandbox tespiti

Amadey ile Yaygın Yüklenen Aileler

Amadey genellikle asagidaki stealerlari ikinci stage payload olarak yukler: RedLine, Vidar, LummaC2, Raccoon, StealC

IOC

SHA256d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
C2HTTP/HTTPS gate (sifrelenmis, dinamik analiz gerekli)
Endpoint/index.php (tipik Amadey gate)

Amadey — Malware Profile

Amadey loader. InstallHinfSection LOLBIN INF yurutme. Command.com eski kabuk. ResourceLocale CIS muafiyeti.

Malware Type
Loader
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — Amadey
# SHA256 d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a
TypeValueNote
sha256 d13d3de76a86ab875c2acd0d28c866928c8420ca89b4f7d3e6f5a4b3c2d1e0f9a

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
196.251.107.104 ip 80 HTTP active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
amadeyloadermaashttp-c2payload-dropperplugin-sistem