5

借助SmokeLoader恶意软件分发,Amadey重出江湖

 2 years ago
source link: https://netsecurity.51cto.com/article/714724.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

借助SmokeLoader恶意软件分发,Amadey重出江湖-51CTO.COM

借助SmokeLoader恶意软件分发,Amadey重出江湖
作者:大白haha 2022-07-25 20:45:23
近期,新版本的Amadey Bot恶意软件使用软件破解和注册机站点作为诱饵,正通过SmokeLoader恶意软件分发。

近期,新版本的Amadey Bot恶意软件使用软件破解和注册机站点作为诱饵,正通过SmokeLoader恶意软件分发。Amadey Bot 是四年前发现的一种恶意软件,它能够执行系统侦察、窃取信息和加载额外的有效负载,虽然在2020年后它就消失了,但AhnLab的韩国研究人员报告说,一个Amadey Bot的新版本再现,并得到了现在仍然非常活跃的 SmokeLoader 恶意软件的支持。这与Amadey对Fallout和Rig漏洞利用工具包的依赖不同,这些工具包通常已经不再流行,因为它们针对的是过时的漏洞。

71841fd17d4055e97804808ba15cb84e0f32bf.jpg

SmokeLoader通常会伪装成软件漏洞或keygen,让受害者在毫不知情的情况下下载并执行。由于漏洞和密钥生成器触发防病毒警告的情况很常见,用户在运行防病毒程序之前禁用防病毒程序是很常见的,这使它们很快成为分发恶意软件的理想手段。当用户执行后,它将“Main Bot”注入当前运行的 (explorer.exe) 进程,因此操作系统信任它并在系统上下载 Amadey。

获取并执行 Amadey 后,它会将自身复制到名为“bguuwe.exe”的 TEMP 文件夹中,并使用 cmd.exe 命令创建计划任务以保持持久性。接下来,Amadey 建立C2通信并向攻击者的服务器发送系统配置文件,包括操作系统版本、架构类型、已安装的防病毒工具列表等。

在其最新版本3.21中,Amadey可以发现14种防病毒产品,并且可能根据结果获取可以避开正在使用的有效负载。服务器会响应指令,并以dll的形式下载额外的插件,以及其他信息窃取者的副本,最著名的是RedLine ('yuri.exe')。

51b26ed280541bad4055531e55b7fab5cbb240.jpg

同时它还会使用UAC绕过和权限提升来获取和安装有效负载。Amadey为此使用了一个名为“FXSUNATD.exe”的程序,并通过 DLL 劫持向管理员执行提升。在下载有效载荷之前,还使用PowerShell在Windows Defender上添加了适当的排除。此外,Amadey会定期捕获屏幕截图并将其保存在TEMP路径中,以便和下一个POST请求一起发送到C2。

下载的其中的一个DLL插件“cred.dll”通过“rundll32.exe”运行,试图从以下软件中窃取信息:

Mikrotik 路由器管理程序 Winbox

Outlook

FileZilla

Pidgin

Total Commander FTP Client

RealVNC, TightVNC, TigerVNC

WinSCP

当然,如果将 RedLine 加载到主机上,目标范围会急剧扩大,受害者可能会丢失帐户凭据、通信、文件和加密货币资产。为了避免Amadey Bot和 RedLine带来的危险,建议不要轻易下载承诺免费访问高级产品的破解文件、软件产品激活器或非法密钥生成器。

责任编辑:未丽燕 来源: FreeBuf.com
zanpc.bd208a1.pngzanpchover.fdd60ba.png
weixin.23cd8b3.png 分享到微信
weibo.16d6b4f.png 分享到微博

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK