加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_丽江站长网 (http://www.0888zz.com/)- 科技、建站、数据工具、云上网络、机器学习!
当前位置: 首页 > 服务器 > 安全 > 正文

利用SmokeLoader恶意软件分发,Amadey重出江湖

发布时间:2022-08-05 17:22:06 所属栏目:安全 来源:互联网
导读:近期,新版本的Amadey Bot恶意软件使用软件破解和注册机站点作为诱饵,正通过SmokeLoader恶意软件分发。Amadey Bot 是四年前发现的一种恶意软件,它能够执行系统侦察、窃取信息和加载额外的有效负载,虽然在2020年后它就消失了,但AhnLab的韩国研究人员报告
  近期,新版本的Amadey Bot恶意软件使用软件破解和注册机站点作为诱饵,正通过SmokeLoader恶意软件分发。Amadey Bot 是四年前发现的一种恶意软件,它能够执行系统侦察、窃取信息和加载额外的有效负载,虽然在2020年后它就消失了,但AhnLab的韩国研究人员报告说,一个Amadey Bot的新版本再现,并得到了现在仍然非常活跃的 SmokeLoader 恶意软件的支持。这与Amadey对Fallout和Rig漏洞利用工具包的依赖不同,这些工具包通常已经不再流行,因为它们针对的是过时的漏洞。
 
  获取并执行 Amadey 后,它会将自身复制到名为“bguuwe.exe”的 TEMP 文件夹中,并使用 cmd.exe 命令创建计划任务以保持持久性。接下来,Amadey 建立C2通信并向攻击者的服务器发送系统配置文件,包括操作系统版本、架构类型、已安装的防病毒工具列表等。
 
  在其最新版本3.21中,Amadey可以发现14种防病毒产品,并且可能根据结果获取可以避开正在使用的有效负载。服务器会响应指令,并以dll的形式下载额外的插件,以及其他信息窃取者的副本,最著名的是RedLine ('yuri.exe')。
 
 
  下载的其中的一个DLL插件“cred.dll”通过“rundll32.exe”运行,试图从以下软件中窃取信息:
 
  Mikrotik 路由器管理程序 Winbox
 
  Outlook
 
  FileZilla
 
  Pidgin
 
  Total Commander FTP Client
 
  RealVNC, TightVNC, TigerVNC
 

(编辑:应用网_丽江站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读