Μια νέα έκδοση του malware Amadey Bot διανέμεται μέσω του SmokeLoader, χρησιμοποιώντας cracks λογισμικού και keygen ιστότοπους ως δέλεαρ.
Το Amadey Bot είναι ένα είδος malware που ανακαλύφθηκε πριν από τέσσερα χρόνια, ικανό να πραγματοποιεί αναγνώριση συστήματος, να κλέβει πληροφορίες και να φορτώνει επιπλέον payloads.
Ενώ η διανομή του έχει εξασθενίσει μετά το 2020, Κορεάτες ερευνητές στο AhnLab αναφέρουν ότι μια νέα έκδοση έχει κυκλοφορήσει και υποστηρίζεται από το εξίσου παλιό αλλά ακόμα πολύ ενεργό κακόβουλο λογισμικό SmokeLoader.
Δείτε επίσης: Apple και Meta μοιράστηκαν δεδομένα με hackers που προσποιούνταν ότι ήταν ερευνητές
Αυτή είναι μια απόκλιση από την εξάρτηση του Amadey στο Fallout και στα Rig exploit kits, τα οποία γενικά έχουν λιγότερη δημοτικότητα καθώς στοχεύουν σε παλαιότερα τρωτά σημεία.
Το SmokeLoader κατεβάζεται και εκτελείται οικειοθελώς από τα θύματα, καλυμμένο ως crack λογισμικού ή keygen. Καθώς είναι σύνηθες τα cracks και τα keygens να ενεργοποιούν προειδοποιήσεις από antivirus, είναι σύνηθες για τους χρήστες να απενεργοποιούν τα προγράμματα προστασίας από ιούς πριν από την εκτέλεση των προγραμμάτων, καθιστώντας τα ιδανική μέθοδο διανομής κακόβουλου λογισμικού.
Κατά την εκτέλεση, εισάγει το «Main Bot» στο τρέχων process (explorer.exe), έτσι ώστε το λειτουργικό σύστημα να το εμπιστεύεται και να πραγματοποιήσει λήψη του Amadey στο σύστημα.
Μόλις το Amadey ανακτηθεί και εκτελεστεί, αντιγράφεται σε έναν φάκελο TEMP με το όνομα «bguuwe.exe» και δημιουργεί ένα προγραμματισμένο task για να διατηρηθεί η επιμονή χρησιμοποιώντας μια εντολή cmd.exe.
Στη συνέχεια, το Amadey δημιουργεί επικοινωνία C2 και στέλνει ένα system profile στον server του παράγοντα απειλής, συμπεριλαμβανομένης της έκδοσης του λειτουργικού συστήματος, του τύπου αρχιτεκτονικής, της λίστας των εγκατεστημένων εργαλείων antivirus κ.λπ.
Στην τελευταία του έκδοση, με αριθμό 3.21, το Amadey μπορεί να ανακαλύψει 14 προϊόντα antivirus και, πιθανώς με βάση τα αποτελέσματα, να ανακτήσει payloads που μπορούν να αποφύγουν τα antivirus που χρησιμοποιούνται.
Δείτε επίσης: Επιθέσεις με το QBot κάνουν κατάχρηση του Windows Calculator
Ο server ανταποκρίνεται με οδηγίες σχετικά με τη λήψη πρόσθετων plugins με τη μορφή DLL, καθώς και με αντίγραφα πρόσθετων προγραμμάτων κλοπής πληροφοριών, κυρίως του RedLine (yuri.exe).
Τα payloads λαμβάνονται και εγκαθίστανται με παράκαμψη UAC και κλιμάκωση των δικαιωμάτων. Το Amadey χρησιμοποιεί ένα πρόγραμμα με το όνομα «FXSUNATD.exe» για το σκοπό αυτό και πραγματοποιεί ανύψωση σε δικαιώματα διαχειριστή μέσω παραβίασης DLL.
Επίσης, οι κατάλληλες εξαιρέσεις στο Windows Defender προστίθενται χρησιμοποιώντας το PowerShell πριν από τη λήψη των payloads.
Επιπλέον, το Amadey καταγράφει στιγμιότυπα οθόνης περιοδικά και τα αποθηκεύει στη διαδρομή TEMP για αποστολή στο C2 με το επόμενο POST request.
Ένα από τα ληφθέντα πρόσθετα DLL, το «cred.dll», το οποίο εκτελείται μέσω του «rundll32.exe», επιχειρεί να υποκλέψει πληροφορίες από τα ακόλουθα λογισμικά:
- Mikrotik Router Management Program Winbox
- Outlook
- FileZilla
- Pidgin
- Total Commander FTP Client
- RealVNC, TightVNC, TigerVNC
- WinSCP
Φυσικά, εάν το RedLine φορτωθεί στον κεντρικό υπολογιστή, το εύρος στόχευσης επεκτείνεται δραματικά και το θύμα κινδυνεύει να χάσει διαπιστευτήρια λογαριασμού, επικοινωνίες, αρχεία και περιουσιακά στοιχεία crypto.
Για να μείνετε μακριά από τον κίνδυνο του Amadey Bot και του RedLine, αποφύγετε τη λήψη cracked αρχείων, activators προϊόντων λογισμικού ή παράνομων keygens που υπόσχονται δωρεάν πρόσβαση σε προϊόντα premium.
Πηγή: bleepingcomputer.com
