0
0
Uma variante de malware perigosa chamada “Amadey Bot”, que esteve praticamente inativa nos últimos dois anos, apareceu novamente com novos recursos que o tornam mais furtivo, mais persistente e muito mais perigoso do que as versões anteriores – incluindo desvios de antivírus.
O Amadey Bot apareceu pela primeira vez em 2018 e foi projetado principalmente para roubar dados de sistemas infectados. No entanto, vários agentes de ameaças – como o infame grupo de ameaças persistentes avançadas (APT) TA505 da Rússia – também o usaram para distribuir outras cargas maliciosas, incluindo GandCrab ransomware e o Trojan de acesso remoto FlawedAmmy (RAT), tornando-o uma ameaça para organizações corporativas .
Anteriormente, os agentes de ameaças usavam os kits de exploração Fallout e RIG, bem como o infostealer AZORult, para distribuir o Amadey. Mas pesquisadores do AhnLab da Coréia do Sul descobriram recentemente que a nova variante está sendo instalada em sistemas via SmokeLoader , um dropper de malware que os invasores usam desde pelo menos 2011.
Fumaça e espelhos
Pesquisadores do AhnLab descobriram que os operadores da nova variante Amadey disfarçaram o SmokeLoader em rachaduras de software e chaves falsas para software comercial que as pessoas costumam usar para tentar ativar software pirata. Quando os usuários baixam o malware assumindo que é uma versão crackeada (pirateada) ou um gerador de chaves, o SmokeLoader injeta sua carga maliciosa no processo do Windows Explorer atualmente em execução (explorer.exe) e, em seguida, baixa o Amadey no sistema infectado, os pesquisadores da AhnLab descoberto.
Depois que o malware é executado, o Amadey se aloja na pasta TEMP como uma pasta de inicialização, garantindo que o malware persista mesmo após a reinicialização do sistema. Como medida de persistência adicional, o Amadey também se registra como uma tarefa agendada no Agendador de Tarefas, de acordo com o AhnLab.
Depois que o malware conclui seus processos de configuração inicial, ele entra em contato com um servidor de comando e controle (C2) controlado por invasores e baixa um plug-in para coletar informações do ambiente. Isso inclui detalhes como o computador e o nome de usuário, informações do sistema operacional, uma lista de aplicativos no sistema e uma lista de todas as ferramentas antimalware nele.
A amostra da nova variante Amadey que os pesquisadores do AhnLab analisaram também foi projetada para fazer capturas de tela periódicas da tela atual e enviá-las de volta em um formato .JPG para o servidor C2 controlado pelo invasor.
Ignorando as proteções AV
A AhnLab descobriu que o malware está configurado para procurar e ignorar ferramentas antivírus de 14 fornecedores, incluindo Avast, Avira, BitDefender, Kaspersky, Sophos e Windows Defender da Microsoft.
“A versão nova e aprimorada do malware ostenta ainda mais recursos em comparação com seu antecessor”, disse o fornecedor de segurança Heimdal em um post no blog . Isso inclui recursos “como tarefas agendadas para persistência, reconhecimento avançado, desvio de UAC e estratégias de evasão de defesa adaptadas para 14 produtos antivírus conhecidos”, observou.
Depois que o Amadey transmite as informações do sistema para o servidor C2, o agente da ameaça sabe exatamente como ignorar a proteção das ferramentas antivírus específicas que podem estar presentes no sistema. “Além disso, assim que Amadey conseguir o perfil do seu AV, todas as cargas úteis ou DLLs futuras serão executadas com privilégios elevados”, alertou Heimdal no post do blog.
Uma versão mais perigosa de Amadey
As informações que Amadey transmite ao servidor C2 permitem que os invasores executem várias ações de acompanhamento, incluindo a instalação de malware adicional. A amostra analisada pelo AhnLab, por exemplo, baixou um plug-in para roubar e-mails do Outlook e informações sobre clientes FTP e VPN no sistema infectado.
Ele também instala um ladrão de informações adicional chamado RedLine no sistema da vítima. O RedLine é um ladrão de informações prolífico que surgiu pela primeira vez em 2020 e foi distribuído por meio de vários mecanismos , incluindo e-mails de phishing com tema COVID-19, anúncios falsos do Google e campanhas direcionadas. Pesquisadores da Qualys observaram recentemente o malware sendo distribuído por meio de um software rachado falso no Discord.
Pesquisadores da BlackBerry Cylance que analisaram a versão anterior do Amadey determinaram na época que o malware não instala nenhuma carga adicional se avaliar que a vítima está na Rússia.
FONTE: DARK READING