2018 yılında keşfedilen Amadey isimli eski bir botnet’in sistemlere saldırmak için aktif olarak kullanıldığı tespit edildi. Cyble Araştırma ve İstihbarat Laboratuarlarındaki (CRIL) araştırmacılar, oyuncuların oyun hileleri ve hileleri sunma kisvesi altında kimlik avı yapan web siteleri tarafından mağdur edildiğini tespit etti.
Birkaç tarayıcıdan oturum açma bilgilerini kopyalayabilen bu bilgi çalan truva atının, 2022 yılında LockBit fidye yazılım grubu tarafından başlatılan saldırılarda cihazlara bulaştığı tespit edilmiştir. Kullanımındaki artış 2022 yılının son 3 ayında gözlemlenmiştir.
Amadey botunun artan kullanımı (Resim: Cyble)
Diğerleri arasında Chrome, Chedot, Microsoft Edge, CentBrowser, SputnikLab ve Opera Software gibi tarayıcılarda çalışabilir. Ayrıca Bitcoin, Monero, Ethereum ve Litecoin gibi kripto para birimlerini de etkiler.
Amadey botunu kullanarak saldırı vektörü
Siber suçlular, çok oyunculu atış video oyunu Valorant için hile olarak kamufle edilmiş kötü amaçlı bağlantılara sahip sahte web siteleri kullanıyor. Kullanıcılardan hxxps’ten bir .rar dosyası indirmelerini ister.[:]//valorantcheatsboss[.]com/upload/boss/Bossmenu%20Kurulum[.]Sistem keşfi, izinleri değiştirme, kripto işlem alıcılarını değiştirme ve daha fazla kötü amaçlı yazılım ekleme gibi yeteneklerle saldırıyı başlatan rar. .rar dosyasında Amadey botu ile sisteme bulaşan bir Seil.exe dosyası vardır.
Cihazlara virüs bulaştırmak için kullanılan hileli bir oyun sitesi örneği (Resim: Cyble)
Yukarıdaki resim birkaç hile sunar, ancak ‘güçlü’ kelimesinin powerfil olarak yanlış yazılması, genellikle sahte web sitelerinin ve kimlik avı e-postalarının düzeltme yapılmadığını hatırlatır. Amadey bot, Redline ve Manuscript dahil olmak üzere diğer kötü amaçlı yazılım ailelerini indirir.
Amadey bot saldırısının teknik detayları
CRIL araştırmacıları, bulunan bir örnek karmayı (SHA256), b00302c7a37d30e1d649945bce637c2be5ef5a1055e572df9866ef8281964b65, 32-bit VC++ derlenmiş yürütülebilir dosyası inceledi ve aşağıdaki gözlemleri yaptı:
- Amadey botu kendisinin bir kopyasını oluşturur ve onu %Temp% klasörüne kaydeder. Daha sonra ShellExecuteA() API kullanılarak çalıştırılır.
- Bunu takiben, sistemde bir noktada botun yalnızca bir örneğinin çalıştığından emin olmak için bir mutex oluşturur. Muteks adı c1ec479e5342a25940592acf24703eb2 idi.
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders kayıt defteri anahtarındaki başlangıç değerini kullanarak kalıcılığı korur. Bununla, kötü amaçlı yazılım Görev Zamanlayıcı’da yapılandırıldığı için her dakika çalışır.
- Bu aşamada bot, makinenin kullanıcı adını toplar ve nbveek.exe dosyasına ve 4b9a106e76 klasörüne verilen izinleri değiştirir. Şu komutu kullanarak dosyaları okuma, yazma ve yürütme izni alır: /k echo Y|CACLS “nbveek.exe” /P “Kullanıcı Adı:N”&&CACLS “nbveek.exe” /P “Kullanıcı Adı:R” /E&&echo Y|CACLS “..\4b9a106e76” /P “Kullanıcı Adı: N”&&CACLS “..\4b9a106e76” /P “Kullanıcı Adı:R” /E&&Çıkış
- Şimdi, belirli alan adlarına sahip bir POST isteği kullanılarak siber suçlunun komuta ve kontrol (C&C) sunucusuna gönderilen bilgi toplama işlemi başlar. Kurbanın kimliğini toplamak için kimlik, botun sürüm numarası, yönetici ayrıcalık durumu için ar vb. içerir.
- İki DLL dosyası – cred64.dll ve clip64.dll indirilir ve şuraya kaydedilir: %uygulama verisi%. Kimlik bilgilerini çalan bu modüller, rundll32.exe kullanılarak yürütülür. Cred64.dll yürütülebilir bir 64-bit Microsoft Visual C/C++ DLL’dir ve tarayıcı verilerini ve ayar ayrıntılarını çalmak üzere programlanmıştır.
- Ayrıca, aşağıdakiler de dahil olmak üzere dizinlerden kripto cüzdan verilerini çalar: %appdata%\Armory\. Hassas verilere erişimi reddedilirse, kripto cüzdan istemci sürecini sonlandırabileceği bulundu. Kopyalanan veriler şuraya gönderildi: hxxp[:]//62[.]204[.]41[.]242/9vZbns/dizin[.]php
- dll, 32-bit VC++ derlenmiş bir DLL dosyasıydı. Panodan kripto para birimi işlem verilerini çalan bir kesme modülüydü. Alıcının cüzdan adresini ondan kendisine değiştirir, böylece miktar, amaçlanan hesap yerine onlara ulaşır.
Amadey bot, kripto para birimi işlemini etkileyen pano verilerini değiştiriyor (Resim: Cyble)
Malpedia’nın bir raporuna göre Amadey, Rusça konuşan hacker forumlarında yaklaşık 500 dolara satılıyor. Amadey, virüs bulaşmış bir sistemi botnet olarak kullanır ve diğer sistemlerde dağıtılmış bir hizmet reddi saldırısı başlatabilir.