Hackers distribuem Amadey usando cracks de software e sites de keygen

Hackers distribuem Amadey usando cracks de software e sites de keygen usados ​​como isca para distribuir malware com a ajuda do SmokeLoader.

A variedade de malware chamada Amadey foi encontrada há mais de quatro anos e é capaz de realizar as seguintes tarefas:

  • Reconhecimento do sistema
  • Roubar informações
  • Carregando cargas adicionais

Desde 2020, houve um declínio constante na prevalência desse malware. Uma nova versão do vírus, no entanto, foi relatada pelos pesquisadores coreanos do AhnLab. 

O malware SmokeLoader também está trabalhando em conjunto com esta nova versão do vírus, que também é muito antiga, mas ainda muito ativa. A mudança de Amadey dos kits de exploração Fallout e Rig representa um afastamento significativo de sua estratégia anterior. 

A nova campanha da Amadey

Sabe-se que o SmokeLoader faz uso de cracks de software ou keygens para se disfarçar, estimulando as vítimas a baixar e instalar o software voluntariamente. 

Quando são utilizados crackers e geradores de chaves, os avisos de antivírus são ativados, fazendo com que o usuário tenha que desabilitar seu programa antivírus. A facilidade com que o malware pode ser distribuído e os torna um meio ideal para fazê-lo.

Ele funciona injetando seu “bot principal” no processo (explorer.exe) que está sendo executado no sistema para que ele se torne confiável pelo sistema operacional e possa baixar o Amadey quando for executado.

O programa Amadey se copia automaticamente para a pasta TEMP com o nome “bguuwe.exe” depois de baixado e executado. Com a ajuda do comando cmd.exe, isso cria uma tarefa agendada responsável por manter a persistência.

No contexto da comunicação C2, o Amadey estabelece contato com o servidor do agente da ameaça e envia um perfil do sistema para ele. 

Embora o perfil do sistema inclua as seguintes informações:-

  • OS version
  • Tipo de arquitetura
  • Lista de aplicativos instalados 
  • Lista de ferramentas AV instaladas

Para responder, o servidor fornece instruções para baixar outros plugins, bem como malware que rouba informações, como o RedLine, projetado para roubar informações pessoais das vítimas.

Com a ajuda da ferramenta ‘FXSUNATD.exe’, Amadey é capaz de contornar o UAC ou realizar o seqüestro de DLL em um esforço para instalar cargas com privilégios elevados.

Verificou-se que a versão mais recente do Amadey, a versão 3.21, é capaz de descobrir 14 produtos antivírus diferentes. 

E-mails direcionados e abusados, FTPs, clientes VPN

O malware pode acessar contas de e-mail, servidores FTP e clientes VPN , bem como vários outros tipos de informações. Vários aplicativos de software diferentes podem ser direcionados com o plug-in de roubo de informações, incluindo: –

  • Programa de gerenciamento de roteador Mikrotik Winbox
  • Panorama
  • FileZilla
  • Pidgin
  • Cliente FTP Total Commander
  • RealVNC, TightVNC, TigerVNC
  • WinSCP

Lembre-se do seguinte para evitar os perigos do Amadey Bot e do RedLine: –

  • Certifique-se de não baixar arquivos crackeados.
  • Ativadores para produtos de software não devem ser baixados.
  • O download de geradores de chaves ilegítimos deve ser evitado.

Fonte: GB Hackers

Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!