La nueva versión del malware Amadey se propaga usando cracks y keygen

Una nueva versión del malware Amadey Bot se distribuye utilizando cracks de software y sitios keygen como señuelos. Amadey Bot es una variante de malware descubierta hace cuatro años, capaz de realizar un reconocimiento del sistema, robar información y agregar cargas útiles adicionales. Si bien su distribución ha disminuido después del 2020, los investigadores de […]

Una nueva versión del malware Amadey Bot se distribuye utilizando cracks de software y sitios keygen como señuelos.

Amadey Bot es una variante de malware descubierta hace cuatro años, capaz de realizar un reconocimiento del sistema, robar información y agregar cargas útiles adicionales.

Si bien su distribución ha disminuido después del 2020, los investigadores de AhnLab (Corea del Sur) informaron recientemente que una nueva versión ha entrado en circulación y se instala a través del malware cuentagotas SmokeLoader, igualmente antiguo pero aún muy activo.

¿Cómo funciona?

SmokeLoader es descargado y ejecutado voluntariamente por las víctimas, enmascarado como un software crack o keygen.

Este malware es capaz de eludir 14 antivirus, como Avast, Avira, BitDefender, Kaspersky, Sophos y Windows Defender de Microsoft.

Como es común que los cracks y los generadores de claves activen las advertencias antivirus, por lo general los usuarios deshabilitan este tipo de programas antes de ejecutarlos, lo que los convierte en un método ideal para distribuir malware.

Tras la ejecución, inyecta «Main Bot» en el proceso actualmente en ejecución (explorer.exe), por lo que el OS confía en él y descarga Amadey en el sistema.

Una vez que se obtiene y ejecuta, se copia a sí mismo en una carpeta TEMP con el nombre ‘bguuwe.exe’ y crea una tarea programada para mantener la persistencia mediante un comando cmd.exe.

Luego realiza una comunicación C2, envía el perfil del sistema al servidor del atacante, incluidos detalles como la versión del sistema operativo, el tipo de arquitectura y una lista de las herramientas antivirus instaladas.

La última versión además tiene la capacidad de identificar 14 productos antivirus y, como era de esperar en función de los resultados, las cargas útiles descargadas son capaces de evitar las que están en uso.

En tanto, la exclusión en Windows Defender se agrega mediante PowerShell antes de obtener los payloads.

Las cargas útiles se instalan a través de una escalada de privilegios, utilizando la técnica de derivación de UAC. El bot usa un programa FXSUNATD[.]exe para esto, que realiza el secuestro de DLL para elevar el privilegio.

Los investigadores notaron que el bot captura la pantalla a intervalos regulares y las almacena en la ruta TEMP para enviarlas al C2. Además, los servidores del atacante responden con instrucciones sobre la descarga de más complementos en forma de archivos DLL, junto con copias de ladrones de información adicionales, como RedLine (yuri[.]exe).

Uno de los complementos DLL descargados (cred[.]dll) roba información de varios programas, Outlook, FileZilla, Pidgin, RealVNC, TightVNC, TigerVNC, WinSCP, Total Commander FTP Client y Winbox.