最近,AmadeyBot恶意软件的新版本正在通过SmokeLoader恶意软件分发,使用软件破解和注册机站点作为诱饵。AmadeyBot是一种四年前发现的恶意软件,它能够执行系统侦察、窃取信息和加载额外的有效负载,在2020年之后消失了,但AhnLab的韩国研究人员报告说,AmadeyBot的新版本得到了仍然非常活跃的支持SmokeLoader恶意软件。这不同于Amadey对Fallout和Rig漏洞利用工具包的依赖,这些工具包通常不再流行,因为它们针对的是过时的漏洞。SmokeLoader通常伪装成软件漏洞或注册机,让受害者在不知情的情况下下载并执行它。由于漏洞和密钥生成器经常触发防病毒警告,用户通常会在运行防病毒程序之前将其禁用,这使它们很快成为传播恶意软件的理想选择。当用户执行时,它会将“MainBot”注入到当前运行的(explorer.exe)进程中,因此操作系统信任它并在系统上下载Amadey。一旦Amadey被获取并执行,它会将自己复制到一个名为“bguuwe.exe”的TEMP文件夹中,并使用cmd.exe命令创建一个计划任务以进行持久化。接下来,Amadey建立C2通信并将系统配置文件发送到攻击者的服务器,包括操作系统版本、体系结构类型、已安装的杀毒工具列表等。在其最新版本3.21中,Amadey可以识别出14种杀毒产品,并根据结果,可能能够获得正在使用的规避有效载荷。服务器响应命令并下载dll形式的附加插件,以及其他信息窃取程序的副本,最著名的是RedLine('yuri.exe')。它还使用UAC绕过和特权升级来获取和安装有效负载。为此,Amadey使用了一个名为“FXSUNATD.exe”的程序,并通过DLL劫持将权限提升为管理员。在下载有效载荷之前,还使用??PowerShell在WindowsDefender上添加了适当的排除项。此外,Amadey会定期捕获屏幕截图并将它们保存在TEMP路径中,以便通过下一个POST请求发送到C2。下载的DLL插件之一“cred.dll”通过“rundll32.exe”运行,试图从以下软件窃取信息:Mikrotik路由器管理程序WinboxOutlookFileZillaPidginTotalCommanderFTPClientRealVNC、TightVNC、TigerVNCWinSCP当然,如果RedLine加载主机,目标范围急剧扩大,受害者可能会丢失帐户凭证、通信、文件和加密货币资产。为避免AmadeyBot和RedLine造成的危险,建议不要下载承诺免费访问高级产品的破解文件、软件产品激活器或非法密钥生成器。
