Hackers distribuem Amadey usando cracks de software e sites de keygen usados como isca para distribuir malware com a ajuda do SmokeLoader.
A variedade de malware chamada Amadey foi encontrada há mais de quatro anos e é capaz de realizar as seguintes tarefas:
- Reconhecimento do sistema
- Roubar informações
- Carregando cargas adicionais
Desde 2020, houve um declínio constante na prevalência desse malware. Uma nova versão do vírus, no entanto, foi relatada pelos pesquisadores coreanos do AhnLab.
O malware SmokeLoader também está trabalhando em conjunto com esta nova versão do vírus, que também é muito antiga, mas ainda muito ativa. A mudança de Amadey dos kits de exploração Fallout e Rig representa um afastamento significativo de sua estratégia anterior.
A nova campanha da Amadey
Sabe-se que o SmokeLoader faz uso de cracks de software ou keygens para se disfarçar, estimulando as vítimas a baixar e instalar o software voluntariamente.
Quando são utilizados crackers e geradores de chaves, os avisos de antivírus são ativados, fazendo com que o usuário tenha que desabilitar seu programa antivírus. A facilidade com que o malware pode ser distribuído e os torna um meio ideal para fazê-lo.
Ele funciona injetando seu “bot principal” no processo (explorer.exe) que está sendo executado no sistema para que ele se torne confiável pelo sistema operacional e possa baixar o Amadey quando for executado.
O programa Amadey se copia automaticamente para a pasta TEMP com o nome “bguuwe.exe” depois de baixado e executado. Com a ajuda do comando cmd.exe, isso cria uma tarefa agendada responsável por manter a persistência.
No contexto da comunicação C2, o Amadey estabelece contato com o servidor do agente da ameaça e envia um perfil do sistema para ele.
Embora o perfil do sistema inclua as seguintes informações:-
- OS version
- Tipo de arquitetura
- Lista de aplicativos instalados
- Lista de ferramentas AV instaladas
Para responder, o servidor fornece instruções para baixar outros plugins, bem como malware que rouba informações, como o RedLine, projetado para roubar informações pessoais das vítimas.
Com a ajuda da ferramenta ‘FXSUNATD.exe’, Amadey é capaz de contornar o UAC ou realizar o seqüestro de DLL em um esforço para instalar cargas com privilégios elevados.
Verificou-se que a versão mais recente do Amadey, a versão 3.21, é capaz de descobrir 14 produtos antivírus diferentes.
E-mails direcionados e abusados, FTPs, clientes VPN
O malware pode acessar contas de e-mail, servidores FTP e clientes VPN , bem como vários outros tipos de informações. Vários aplicativos de software diferentes podem ser direcionados com o plug-in de roubo de informações, incluindo: –
- Programa de gerenciamento de roteador Mikrotik Winbox
- Panorama
- FileZilla
- Pidgin
- Cliente FTP Total Commander
- RealVNC, TightVNC, TigerVNC
- WinSCP
Lembre-se do seguinte para evitar os perigos do Amadey Bot e do RedLine: –
- Certifique-se de não baixar arquivos crackeados.
- Ativadores para produtos de software não devem ser baixados.
- O download de geradores de chaves ilegítimos deve ser evitado.
Fonte: GB Hackers
Veja também:
- As 5 principais ameaças internas à segurança de dados e como lidar com elas
- Onda de calor na Europa derruba data centers do Google
- Falhas em GPS populares permitem que hackers interrompam e rastreiem veículos
- AIOPS são a melhor forma de prevenção e detecção de ataques virtuais
- Pesquisa global da Fortinet revela desafios críticos de segurança de OT
- Hackers russos usam DropBox e Google Drive para descarregar cargas maliciosas
- 10 principais ataques de segurança cibernética da última década
- Novo ransomware Luna e Black Basta criptografa sistemas Windows, Linux e ESXi
- Rússia multa Google em US$ 358 milhões por violar restrição à informações
- Dinamarca bane Google Workspace por não conformidade com GDPR
- 5 principais maneiras como o DLP ajuda na conformidade com a LGPD
- Como o DLP ajuda a proteger as informações financeiras
Deixe sua opinião!