Araştırmacılar, Amadey kötü amaçlı yazılımının LockBit 3.0 fidye yazılımını güvenliği ihlal edilmiş sistemlere dağıtmak için kullanıldığı konusunda uyardı.
AhnLab Security Acil Müdahale Merkezi, “LockBit’i yüklemek için kullanılan kötü amaçlı yazılım Amadey bot iki yöntemle dağıtılıyor: biri kötü amaçlı bir Word belge dosyası kullanarak ve diğeri Word dosyası simgesinin görünümünü alan bir yürütülebilir dosya kullanarak” (ASEC) bugün yayınlanan yeni bir raporda söyledi.
İlk olarak 2018’de keşfedilen Amadey, BlackBerry Araştırma ve İstihbarat Ekibi tarafından açıklandığı gibi bir “suçludan-suçluya (C2C) botnet bilgi hırsızlığı projesidir” ve yeraltı suçlarında 600 $’a kadar satın alınmak üzere teklif ediliyor.
Birincil işlevi, virüs bulaşmış ana bilgisayarlardan hassas bilgileri toplamak olsa da, sonraki aşama eserler sunmak için bir kanal olarak ikiye katlanır. Bu Temmuz ayının başlarında, kendisi gibi pek de farklı olmayan özelliklere sahip bir kötü amaçlı yazılım olan SmokeLoader kullanılarak yayıldı.
Daha geçen ay, ASEC, bir kimlik avı kampanyasının parçası olarak Güney Kore’de popüler bir anlık mesajlaşma hizmeti olan KakaoTalk kılığında dağıtılan kötü amaçlı yazılımı da buldu.
Siber güvenlik firmasının en son analizi, 28 Ekim 2022’de VirusTotal’a yüklenen bir Microsoft Word dosyasına (“심시아.docx”) dayanmaktadır. Belge, kurban tarafından etkinleştirildiğinde bir PowerShell komutu çalıştıran kötü amaçlı bir VBA makrosu içermektedir. Amadey’i indirmek ve çalıştırmak için.
Alternatif bir saldırı zincirinde, Amadey, Word simgesi taşıyan, görünüşte zararsız bir dosya olarak gizlenir, ancak aslında bir kimlik avı mesajı yoluyla yayılan yürütülebilir bir dosyadır (“Resume.exe”). ASEC, bir cazibe olarak kullanılan e-postayı tanımlayamadığını söyledi.
Amadey’i yürütmeyi başaran kötü amaçlı yazılım, PowerShell (.ps1) veya ikili (.exe) biçimlerinde LockBit fidye yazılımını içeren uzak bir sunucudan ek komutlar alır ve başlatır.
LockBit Black olarak da bilinen LockBit 3.0, yeni bir karanlık web portalı ve bir fidye yazılımı operasyonu için ilk hata ödül programı ile birlikte Haziran 2022’de piyasaya sürüldü ve web sitesinde ve yazılımında hata bulmak için 1 milyon dolara kadar ödül vaat ediyor.
Araştırmacılar, “LockBit fidye yazılımı çeşitli yöntemlerle dağıtıldığından, kullanıcıların dikkatli olması önerilir.”