Yazılım çatlakları ve keygen siteleri, Amadey Bot kötü amaçlı yazılımının en son sürümünü SmokeLoader kötü amaçlı yazılımının yardımıyla dağıtmak için yem olarak kullanılır.
Amadey adlı kötü amaçlı yazılım türü, dört yıldan uzun bir süre önce bulundu ve aşağıdaki görevleri gerçekleştirme yeteneğine sahip:-
- Sistem keşfi
- bilgi çalmak
- Ek yüklerin yüklenmesi
2020’den bu yana, bu kötü amaçlı yazılımın yaygınlığında sürekli bir düşüş oldu. Bununla birlikte, AhnLab’daki Koreli araştırmacılar tarafından virüsün yeni bir versiyonu bildirildi.
SmokeLoader kötü amaçlı yazılımı da virüsün çok eski ama yine de çok aktif olan bu yeni sürümüyle birlikte çalışıyor. Amadey’in Fallout ve Rig istismar kitlerinden uzaklaşması, önceki stratejisinden önemli bir ayrılmayı temsil ediyor.
Amadey’in yeni kampanyası
SmokeLoader’ın kendini gizlemek için yazılım cracklerini veya keygen’leri kullandığı ve kurbanları yazılımı gönüllü olarak indirmeye ve yüklemeye teşvik ettiği biliniyor.
Çatlaklar ve anahtar oluşturucular kullanıldığında, virüsten koruma uyarıları etkinleştirilir ve kullanıcının virüsten koruma programını devre dışı bırakması gerekir. Kötü amaçlı yazılımın dağıtılma kolaylığı ve onları bunu yapmak için ideal bir araç haline getirir.
İşletim sistemi tarafından güvenilir hale gelmesi ve yürütüldüğünde Amadey’i indirebilmesi için sistemde çalışmakta olan sürece (explorer.exe) “Ana Bot”unu enjekte ederek çalışır.
Amadey programı indirilip çalıştırıldıktan sonra kendisini otomatik olarak “bguuwe.exe” adı altında TEMP klasörüne kopyalar. Bu, cmd.exe komutunun yardımıyla kalıcılığı korumaktan sorumlu bir zamanlanmış görev oluşturur.
C2 iletişimi bağlamında Amadey, tehdit aktörünün sunucusuyla bağlantı kurar ve ona sistemin bir profilini gönderir.
Sistem profili aşağıdaki bilgileri içerir: –
- OS sürümü
- Mimari tipi
- Yüklü uygulamalar listesi
- Kurulu AV araçlarının listesi
Yanıt vermek için sunucu, kurbanlardan kişisel bilgileri çalmak için tasarlanmış RedLine gibi bilgi hırsızı kötü amaçlı yazılımların yanı sıra daha fazla eklenti indirmek için talimatlar sunar.
‘FXSUNATD.exe’ aracının yardımıyla Amadey, yükseltilmiş ayrıcalıklara sahip yükleri yüklemek amacıyla UAC’yi atlayabilir veya DLL ele geçirme işlemini gerçekleştirebilir.
Amadey’in en son sürümü olan 3.21 sürümünün 14 farklı antivirüs ürünü keşfedebildiği tespit edildi.
Hedeflenen ve kötüye kullanılan E-postalar, FTP’ler, VPN istemcileri
Kötü amaçlı yazılım, e-posta hesaplarına, FTP sunucularına ve VPN istemcilerine ve ayrıca çeşitli diğer bilgi türlerine erişebilir. Bilgi çalma eklentisi ile aşağıdakiler de dahil olmak üzere birkaç farklı yazılım uygulaması hedeflenebilir: –
- Mikrotik Router Yönetim Programı Winbox
- Görünüm
- FileZilla
- Pidgin
- Total Commander FTP İstemcisi
- RealVNC, SıkıVNC, TigerVNC
- WinSCP
Amadey Bot ve RedLine’ın tehlikelerinden kaçınmak için aşağıdakileri aklınızda bulundurun:-
- Crackli dosyaları indirmediğinizden emin olun.
- Yazılım ürünleri için etkinleştiriciler indirilmemelidir.
- Yasal olmayan anahtar oluşturucuların indirilmesinden kaçınılmalıdır.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.