Amadey 惡意軟件通過帶有 SmokeLoader 的軟件裂縫傳播

Amadey Bot 惡意軟件背后的運營商使用 SmokeLoader 通過軟件破解和注冊機站點分發新變種。

Amadey Bot 是一種數據竊取惡意軟件，于 2018 年首次被發現，它還允許操作員安裝額外的有效負載。該惡意軟件可在非法論壇上出售，過去，它被 TA505 等網絡犯罪團伙用來安裝GandCrab勒索軟件或FlawedAmmyy RAT。

ASEC 研究人員最近發現，Amadey 惡意軟件正在由SmokeLoader分發，該惡意軟件隱藏在多個站點上可用的軟件破解和串行生成程序中。

SmokeLoader 充當其他惡意軟件的加載程序，一旦執行，它會將 Main Bot 注入當前運行的資源管理器進程 (explorer.exe) 并在系統上下載 Amadey 惡意軟件。

Amadey 惡意軟件在執行時會將自身復制到臨時路徑“%TEMP%\9487d68b99\bguuwe[.]exe”，然后將該文件夾注冊為啟動文件夾以保持持久性。它還支持將自身注冊到任務計劃程序以實現相同目的的功能。

然后惡意軟件聯系C2并向運營商發送系統信息（即計算機名稱、用戶名、操作系統版本、架構類型、已安裝的反惡意軟件產品列表）。

反過來，服務器通過提供下載附加插件和信息竊取惡意軟件（如 RedLine）的指令來響應。

專家分析的 Amadey 惡意軟件的最新版本是 3.21 版本，它能夠檢查以下反惡意軟件產品：

Amadey 利用“FXSUNATD.exe”工具繞過 UAC 安裝有效負載，并通過 DLL 劫持向管理員執行提升。

該惡意軟件竊取的信息列表包括電子郵件、FTP、VPN 客戶端等。該信息竊取插件能夠針對以下軟件：

• Mikrotik 路由器管理程序 Winbox
• 外表
• FileZilla
• 洋涇浜
• Total Commander FTP 客戶端
• RealVNC、TightVNC、TigerVNC
• WinSCP

“過去最初是通過漏洞利用工具包分發的，直到最近，Amadey 一直通過偽裝成下載頁面的惡意網站的 SmokeLoader 安裝，用于商業軟件的破解和序列。一旦安裝了惡意軟件，它就可以留在系統中竊取用戶信息并下載額外的有效載荷。” 報告結束。“用戶應為操作系統和互聯網瀏覽器等程序應用最新補丁，并將V3更新到最新版本，提前防止惡意軟件感染。”