Amadey Bot kötü amaçlı yazılımlarının yeni bir sürümü, yazılım çatlakları ve keygen siteleri lures olarak kullanılarak Smokeloader kötü amaçlı yazılım aracılığıyla dağıtılır.
Amadey Bot, dört yıl önce keşfedilen, sistem keşfi gerçekleştirebilen, bilgi çalma ve ek yükler yükleyebilen bir kötü amaçlı yazılım suşudur.
Dağıtım 2020'den sonra soluk olsa da, Ahnlab'daki Koreli araştırmacılar yeni bir versiyonun dolaşıma girdiğini ve eşit derecede eski ama yine de çok aktif duman yükleyici kötü amaçlı yazılım tarafından desteklendiğini bildiriyor.
Bu, Amadey'in serpinti ve teçhizat istismar kitlerinden ayrılıştan ayrılır ve bu da tarihli güvenlik açıklarını hedefledikleri için popülerlikten düşmüştür.
Smokeloader, bir yazılım çatlağı veya keygen olarak maskelenen kurbanlar tarafından gönüllü olarak indirilir ve yürütülür. Çatlakların ve anahtar jeneratörlerin antivirüs uyarılarını tetiklemesi yaygın olduğundan, kullanıcıların programları çalıştırmadan önce antivirüs programlarını devre dışı bırakmaları ve kötü amaçlı yazılım dağıtmak için ideal bir yöntem haline getirmeleri yaygındır.
Yürütme üzerine, şu anda çalışan (explorer.exe) sürecine "ana bot" enjekte eder, böylece işletim sistemi ona güvenir ve Amadey'yi sistemde indirir.
Amadey getirilip yürütüldükten sonra, kendisini 'bguuwe.exe' adı altında geçici bir klasöre kopyalar ve bir cmd.exe komutunu kullanarak kalıcılığı korumak için planlanmış bir görev oluşturur.
Ardından, Amadey C2 iletişimi kurar ve OS sürümü, mimarlık türü, yüklü antivirüs araçlarının listesi vb.
En son sürümünde, 3.21 numaralı Amadey, 14 antivirüs ürünü keşfedebilir ve muhtemelen sonuçlara dayanarak, kullanımda olanlardan kaçabilecek yükleri getirebilir.
Sunucu, DLL'ler şeklinde ek eklentiler indirme talimatlarının yanı sıra ilave info-stajyerlerin kopyaları, özellikle de Redline ('yuri.exe') ile yanıt verir.
Yükler, UAC baypas ve ayrıcalık artışı ile getirilir ve kurulur. Amadey, bu amaçla 'fxsunatd.exe' adlı bir program kullanır ve DLL kaçırma yoluyla yöneticiye yükseltme yapar.
Ayrıca, Windows Defender'daki uygun istisnalar, yükleri indirmeden önce PowerShell kullanılarak eklenir.
Dahası, Amadey ekran görüntülerini periyodik olarak yakalar ve bir sonraki yazı isteği ile C2'ye gönderilecek geçici yola kaydeder.
İndirilen DLL eklentilerinden biri, 'Rundll32.exe' aracılığıyla çalıştırılan 'Cred.dll', aşağıdaki yazılımdan bilgi çalmaya çalışıyor:
Tabii ki, Redline ana bilgisayara yüklenirse, hedefleme kapsamı önemli ölçüde genişletilir ve mağdur hesap kimlik bilgilerini, iletişimleri, dosyaları ve kripto para birimi varlıklarını kaybetme riskiyle karşı karşıya kalır.
Amadey Bot ve Redline tehlikesinden uzak durmak için, çatlak dosyaları, yazılım ürün aktivatörlerini veya premium ürünlere ücretsiz erişim vaat eden gayri meşru temel jeneratörleri indirmekten kaçının.
LinkedIn Kimlik Avı Hedef Çalışanları Facebook Reklam Hesaplarını Yöneten
Hacker forumlarında yayınlanan pas tabanlı info-stealer için kaynak kodu
Yeni gizli yörünge kötü amaçlı yazılım, Linux cihazlarından verileri çalıyor
Xfiles Info-Renting Malware, Follina Teslimatı için Destek Katar
YENİ YTSTEALER KAYNAK YAZILIĞI YOUTUBE Creators'ın Hesaplarını Çalar
Kaynak: Bleeping Computer