利用SmokeLoader恶意软件分发,Amadey重出江湖
发布时间:2022-07-30 15:32:31 所属栏目:安全 来源:互联网
导读:近期,新版本的Amadey Bot恶意软件使用软件破解和注册机站点作为诱饵,正通过SmokeLoader恶意软件分发。Amadey Bot 是四年前发现的一种恶意软件,它能够执行系统侦察、窃取信息和加载额外的有效负载,虽然在2020年后它就消失了,但AhnLab的韩国研究人员报告
|
近期,新版本的Amadey Bot恶意软件使用软件破解和注册机站点作为诱饵,正通过SmokeLoader恶意软件分发。Amadey Bot 是四年前发现的一种恶意软件,它能够执行系统侦察、窃取信息和加载额外的有效负载,虽然在2020年后它就消失了,但AhnLab的韩国研究人员报告说,一个Amadey Bot的新版本再现,并得到了现在仍然非常活跃的 SmokeLoader 恶意软件的支持。这与Amadey对Fallout和Rig漏洞利用工具包的依赖不同,这些工具包通常已经不再流行,因为它们针对的是过时的漏洞。 SmokeLoader通常会伪装成软件漏洞或keygen,让受害者在毫不知情的情况下下载并执行。由于漏洞和密钥生成器触发防病毒警告的情况很常见,用户在运行防病毒程序之前禁用防病毒程序是很常见的,这使它们很快成为分发恶意软件的理想手段。当用户执行后,它将“Main Bot”注入当前运行的 (explorer.exe) 进程,因此操作系统信任它并在系统上下载 Amadey。 同时它还会使用UAC绕过和权限提升来获取和安装有效负载。Amadey为此使用了一个名为“FXSUNATD.exe”的程序,并通过 DLL 劫持向管理员执行提升。在下载有效载荷之前,还使用PowerShell在Windows Defender上添加了适当的排除。此外,Amadey会定期捕获屏幕截图并将其保存在TEMP路径中,以便和下一个POST请求一起发送到C2。 下载的其中的一个DLL插件“cred.dll”通过“rundll32.exe”运行,试图从以下软件中窃取信息: Mikrotik 路由器管理程序 Winbox Outlook FileZilla Pidgin (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号