安全動(dòng)態(tài)

借助SmokeLoader惡意軟件分發(fā),Amadey重出江湖

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-07-26    瀏覽次數(shù):
 

信息來(lái)源:Freebuf

近期,新版本的Amadey Bot惡意軟件使用軟件破解和注冊(cè)機(jī)站點(diǎn)作為誘餌,正通過(guò)SmokeLoader惡意軟件分發(fā)。Amadey Bot 是四年前發(fā)現(xiàn)的一種惡意軟件,它能夠執(zhí)行系統(tǒng)偵察、竊取信息和加載額外的有效負(fù)載,雖然在2020年后它就消失了,但AhnLab的韓國(guó)研究人員報(bào)告說(shuō),一個(gè)Amadey Bot的新版本再現(xiàn),并得到了現(xiàn)在仍然非?;钴S的 SmokeLoader 惡意軟件的支持。這與Amadey對(duì)Fallout和Rig漏洞利用工具包的依賴不同,這些工具包通常已經(jīng)不再流行,因?yàn)樗鼈冡槍?duì)的是過(guò)時(shí)的漏洞。

SmokeLoader通常會(huì)偽裝成軟件漏洞或keygen,讓受害者在毫不知情的情況下下載并執(zhí)行。由于漏洞和密鑰生成器觸發(fā)防病毒警告的情況很常見,用戶在運(yùn)行防病毒程序之前禁用防病毒程序是很常見的,這使它們很快成為分發(fā)惡意軟件的理想手段。當(dāng)用戶執(zhí)行后,它將“Main Bot”注入當(dāng)前運(yùn)行的 (explorer.exe) 進(jìn)程,因此操作系統(tǒng)信任它并在系統(tǒng)上下載 Amadey。

獲取并執(zhí)行 Amadey 后,它會(huì)將自身復(fù)制到名為“bguuwe.exe”的 TEMP 文件夾中,并使用 cmd.exe 命令創(chuàng)建計(jì)劃任務(wù)以保持持久性。接下來(lái),Amadey 建立C2通信并向攻擊者的服務(wù)器發(fā)送系統(tǒng)配置文件,包括操作系統(tǒng)版本、架構(gòu)類型、已安裝的防病毒工具列表等。

在其最新版本3.21中,Amadey可以發(fā)現(xiàn)14種防病毒產(chǎn)品,并且可能根據(jù)結(jié)果獲取可以避開正在使用的有效負(fù)載。服務(wù)器會(huì)響應(yīng)指令,并以dll的形式下載額外的插件,以及其他信息竊取者的副本,最著名的是RedLine ('yuri.exe')。

同時(shí)它還會(huì)使用UAC繞過(guò)和權(quán)限提升來(lái)獲取和安裝有效負(fù)載。Amadey為此使用了一個(gè)名為“FXSUNATD.exe”的程序,并通過(guò) DLL 劫持向管理員執(zhí)行提升。在下載有效載荷之前,還使用PowerShell在Windows Defender上添加了適當(dāng)?shù)呐懦?。此外,Amadey會(huì)定期捕獲屏幕截圖并將其保存在TEMP路徑中,以便和下一個(gè)POST請(qǐng)求一起發(fā)送到C2。

下載的其中的一個(gè)DLL插件“cred.dll”通過(guò)“rundll32.exe”運(yùn)行,試圖從以下軟件中竊取信息:

Mikrotik 路由器管理程序 Winbox

Outlook

FileZilla

Pidgin

Total Commander FTP Client

RealVNC, TightVNC, TigerVNC

WinSCP

當(dāng)然,如果將 RedLine 加載到主機(jī)上,目標(biāo)范圍會(huì)急劇擴(kuò)大,受害者可能會(huì)丟失帳戶憑據(jù)、通信、文件和加密貨幣資產(chǎn)。為了避免Amadey Bot和 RedLine帶來(lái)的危險(xiǎn),建議不要輕易下載承諾免費(fèi)訪問高級(jí)產(chǎn)品的破解文件、軟件產(chǎn)品激活器或非法密鑰生成器。

 
 

上一篇:2022年第二季度網(wǎng)絡(luò)安全風(fēng)險(xiǎn)投資出現(xiàn)嚴(yán)重下滑

下一篇:2022年7月26日聚銘安全速遞