Manuel Statik Analiz — Amadey Loader | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 29352f59456553b5e8b3a7c2d9f1e4b6c0f5a8d3e6b1c4f7a0d2e5b8c1f4a7e0 |
|---|---|
| Boyut | 174.592 byte |
| String Sayisi | 1.282 |
Açık Metin C2 İndirme URL'leri
Kritik IOC: Amadey loader açık metin HTTP üzerinden ikinci aşama payload indiriyor!
http://196.251.107.104/11x06x2026_x64.exe -- Tarihli payload (11 Haziran 2026 x64) http://196.251.107.104/clp5.exe -- Ek payload (clp5 = Clipper?) -- 196.251.107.104 = AKTIF Amadey C2 sunucusu!
Anti-Debug
GetTickCount, IsDebuggerPresent -- Zamanlama ve debugger tespiti
Bitcoin Cüzdanı
1DQdHKjQMJ2RuHVyuJ8AbdnmQCqphAf5PK -- Amadey BTC ödeme cüzdanı
IOC
| SHA256 | 29352f59456553b5e8b3a7c2d9f1e4b6c0f5a8d3e6b1c4f7a0d2e5b8c1f4a7e0 |
|---|---|
| C2 | 196.251.107.104 |
| URL | http://196.251.107.104/11x06x2026_x64.exe |
| URL | http://196.251.107.104/clp5.exe |
| BTC | 1DQdHKjQMJ2RuHVyuJ8AbdnmQCqphAf5PK |
Amadey2 — Malware Profile
Amadey2, 2023+ varyant. Cleartext HTTP ile payload indirme. Amadey botnet, stealer dropper.
Malware Type
Loader
Programming Language
C
C2 Protocol
HTTP
Target Systems
Kuresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — Amadey2
# SHA256
29352f59456553b5e8b3a7c2d9f1e4b6c0f5a8d3e6b1c4f7a0d2e5b8c1f4a7e0
| Type | Value | Note |
|---|---|---|
| sha256 | 29352f59456553b5e8b3a7c2d9f1e4b6c0f5a8d3e6b1c4f7a0d2e5b8c1f4a7e0 |