Amadey - это грозная угроза Windows infostealer, характеризующаяся механизмами персистенции, модульной конструкцией и способностью выполнять различные вредоносные задачи.
Что такое вредоносная программа Amadey
Впервые появившись около 5 лет назад, Amadey представляет собой модульный бот, позволяющий выполнять функции загрузчика или похитителя информации. Он предназначен для выполнения ряда вредоносных действий, включая разведку, утечку данных и загрузку дополнительной полезной нагрузки, которая варьируется от банковских троянов до инструментов DDoS. Он нацелен на все версии Microsoft Windows.
Возможности этой вредоносной программы включают:
- повышение привилегий
- обход UAC
- регистрация нажатий клавиш
- захват экрана
- Загрузка дополнительных вредоносных программ
Хотя многие злоумышленники используют эту вредоносную программу в основном как кейлоггер для кражи учетных данных, она также может превратить зараженные устройства в рассыльщиков спама по электронной почте или добавить их в бот-сеть, которую противники используют для проведения DDoS-атак.
Однако это далеко не все, на что способна данная угроза. Благодаря своей модульной конструкции Amadey может значительно расширить спектр целей атаки, позволяя извлекать более широкий спектр информации, такой как файлы, учетные данные и криптовалютные кошельки.
Кроме того, существующие варианты Amadey способны распознавать более 14 антивирусных решений. Эта способность позволяет вредоносной программе интеллектуально развертывать полезную нагрузку, предназначенную для обхода конкретного антивирусного продукта, установленного на зараженном устройстве.
Кроме того, эта вредоносная программа может перемещаться вбок, распространяясь на устройства в той же сети путем распространения эксплойта EternalBlue на жертвы. Хотя EternalBlue устарел, он по-прежнему актуален, особенно в таких общественных секторах, как правительство и образование, где широко распространено использование устаревшего программного обеспечения.
Что касается происхождения этой угрозы, то на данный момент мало что известно. Более ранняя активность связывала его с кампаниями GandCrab, что может связывать Amadey с бандой REvil или одним из их филиалов. Кроме того, Amadey распространяется на славяноязычных подпольных форумах, что, возможно, указывает на его происхождение на одной из территорий бывшего СССР.
Процесс выполнения программы Amadey infostealer
Когда Amadey инициирует свое выполнение, вредоносная программа дублирует себя в папку TEMP (иногда называя себя bguuwe.exe). После этого он изменяет реестр и создает запланированную задачу для достижения стойкости. Затем Amadey устанавливает C2-связь и передает профиль системы на сервер противника. Находясь в активном состоянии, Amadey делает скриншоты через регулярные промежутки времени и сохраняет их в каталоге TEMP, готовые к передаче на сервер C2 при последующих POST-запросах.
Amadey часто служит загрузчиком для других вредоносных программ, как, например, в этой задаче.
Кроме того, Amadey имеет очень специфическую структуру POST-запросов, по которой его можно идентифицировать с высокой степенью вероятности.
Распространение Amadey
Amadey в основном использует фишинговые электронные письма, содержащие вредоносные вложения, такие как документы Microsoft Office, для атаки на конкретные организации или отдельных лиц. Содержимое письма тщательно прорабатывается, чтобы казаться законным, и жертве предлагается открыть вложение.
Кроме того, Amadey может использовать наборы эксплойтов (Fallout и Rig), загружаться по дискам или попадать в качестве полезной нагрузки в другие вредоносные программы (в недавних случаях он распространялся с помощью SmokeLoader).
Заключение о вредоносной программе Amadey
Вредоносная программа Amadey представляет собой серьезную проблему для исследователей кибербезопасности. Его стойкость и методы уклонения, в сочетании с высоко настраиваемой модульной архитектурой, делают его угрозой высокого уровня. Понимание его различных векторов заражения, методов эксплуатации и вредоносной деятельности необходимо для разработки эффективных мер противодействия и повышения общего уровня кибербезопасности.