Amadey
A ferramenta de hacking Amadey é um construtor de botnet desenvolvido por agentes de ameaças desconhecidos e mal-intencionados e vendido em vários fóruns de hackers. Ele apareceu pela primeira vez no início de 2019. Essa ameaça também pode ser usada como uma carga útil de primeiro estágio que pode introduzir malware adicional no host. Inicialmente, a ferramenta de hackers Amadey custava aproximadamente US$ 500. Essa ameaça ganhou força e parece ter vendido bem, pois os pesquisadores de malware identificaram a ferramenta Amadey sendo usada em várias campanhas diferentes em todo o mundo. Até mesmo o infame grupo de hackers TA505 colocou as mãos na ameaça Amadey.
Índice
Táticas de Distribuição
Amadey é um tipo de malware que visa principalmente sistemas baseados no Windows. Ele normalmente entra em um sistema de destino por vários meios, incluindo:
- Anexos de e-mail : Amadey pode ser distribuído por meio de e-mails de spam contendo anexos maliciosos, como documentos infectados do Microsoft Office (por exemplo, arquivos do Word ou Excel), arquivos PDF ou arquivos ZIP. Depois que o destinatário abre o anexo, o malware pode ser executado.
- Sites maliciosos : Amadey pode ser entregue por meio de sites comprometidos ou maliciosos. Isso pode ocorrer se você visitar um site comprometido ou clicar em um link malicioso que acione um download drive-by, resultando na instalação de um programa malicioso em seu sistema sem o seu conhecimento.
- Kits de exploração : kits de exploração são kits de ferramentas usados por cibercriminosos para explorar vulnerabilidades em software. O Amadey pode ser distribuído dessa forma, o que aproveita as vulnerabilidades de software não corrigidas para entregar o malware no sistema de destino.
Opera silenciosamente
Os operadores do Amadey podem obter privilégios administrativos e acesso remoto por meio de seu navegador da Web para comandar os sistemas infectados. No entanto, tudo isso é realizado silenciosamente e fora da vista do usuário vítima. É provável que as vítimas nem percebam que uma infecção por malware sequestrou seu sistema e que agora faz parte de uma botnet.
Persistência
Depois que o criador de botnet Amadey se infiltra em um sistema, ele pode verificar se alguma das ferramentas antimalware mais comuns está presente. A ferramenta de hacking Amadey é capaz de ganhar persistência modificando o Registro do Windows, garantindo assim que a ameaça seja lançada toda vez que o sistema for reinicializado.
Capacidades
Esta ferramenta de hacking tem uma lista um tanto limitada de recursos. O construtor de botnet Amadey pode coletar informações sobre o host infectado, incluindo:
- Sistema operacional.
- Nome de usuário.
- Configuração de rede.
- Hardware.
Além de ser capaz de sequestrar um computador e adicioná-lo a um botnet, que seria usado para realizar ataques DDoS (Distributed-Denial-of-Service), essa ameaça também pode ser empregada como uma carga útil de primeiro estágio, que irá servir como um backdoor para os invasores infectarem o host com malware adicional e potencialmente mais ameaçador.
Nenhum de nós pode se dar ao luxo de ignorar a segurança cibernética nos dias de hoje. Certifique-se de baixar e instalar um pacote de software antivírus legítimo que manterá seu sistema seguro.
Como evitar o Amadey Bot
Para ajudar a evitar o malware Amadey e ameaças semelhantes, considere implementar as seguintes medidas preventivas:
- Mantenha o software atualizado : atualize regularmente seu sistema operacional, navegadores da Web e outros aplicativos de software.
- Tenha cuidado com anexos de e-mail : se você receber um anexo inesperado, verifique sua autenticidade com o remetente por meio de um canal de comunicação diferente antes de abri-lo.
- Desconfie de tentativas de phishing : evite clicar em links em e-mails ou mensagens que pareçam suspeitos ou provenientes de fontes não confiáveis.
- Use um software de segurança confiável : instale produtos antivírus e software antimalware confiáveis em seu sistema e mantenha-os atualizados.
- Backup de dados regular : mantenha backups regulares de seus arquivos e dados importantes em dispositivos de armazenamento separados ou na nuvem. Em caso de infecção por malware ou outros incidentes, ter backups recentes garante que você possa restaurar seus dados e minimizar possíveis danos.
- Exercite hábitos de navegação seguros : evite visitar sites suspeitos ou não confiáveis. Tenha cuidado ao clicar em anúncios ou links, pois eles podem redirecioná-lo para sites maliciosos que distribuem malware.
Relatório de análise
Informação geral
| Family Name: | Trojan.Amadey |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
4f7dd64dab6c5a47dc113589ed95f131
SHA1:
f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256:
B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Tamanho do Arquivo:
849.41 KB, 849408 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| Nome | Valor |
|---|---|
| Company Name | Microsoft Corporation |
| File Description | Win32 Cabinet Self-Extractor |
| File Version | 11.00.17763.1 (WinBuild.160101.0800) |
| Internal Name | Wextract |
| Legal Copyright | © Microsoft Corporation. All rights reserved. |
| Original Filename | WEXTRACT.EXE .MUI |
| Product Name | Internet Explorer |
| Product Version | 11.00.17763.1 |
File Traits
- No Version Info
- WriteProcessMemory
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\gmdasllogger | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe | Generic Write,Read Attributes |
Show More
| c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Dados | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| Syscall Use |
Show More
|
| User Data Access |
|
| Service Control |
|
| Other Suspicious |
|
| Anti Debug |
|
| Encryption Used |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
|
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe
|
