הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית אמדאי

אמדאי

עד GoldSparrow ב-תוכנה זדונית
לתרגם ל:

כלי הפריצה Amadey הוא בונה רשתות בוט שפותח על ידי שחקני איומים לא ידועים ונמכרים בפורומי פריצה שונים. הוא הופיע לראשונה בתחילת 2019. איום זה יכול לשמש גם כמטען שלב ראשון שיכול להכניס תוכנות זדוניות נוספות למארח. בתחילה, כלי הפריצה של Amadey עלה בערך 500 דולר. האיום הזה זכה למשיכה מסוימת ונראה שנמכר היטב, שכן חוקרי תוכנות זדוניות הבחינו בכלי Amadey בשימוש בקמפיינים רבים ושונים ברחבי העולם. אפילו קבוצת הפריצה הידועה לשמצה של TA505 שמה את ידה על איום אמדיי.

טקטיקות הפצה

Amadey הוא סוג של תוכנה זדונית המכוונת בעיקר למערכות מבוססות Windows. זה בדרך כלל נכנס למערכת יעד באמצעים שונים, כולל:

  1. קבצים מצורפים לדוא"ל : Amadey עשוי להיות מופץ באמצעות הודעות דואר זבל המכילות קבצים מצורפים זדוניים, כגון מסמכי Microsoft Office נגועים (למשל, קובצי Word או Excel), קבצי PDF או ארכיוני ZIP. ברגע שהנמען פותח את הקובץ המצורף, ניתן להפעיל את התוכנה הזדונית.

  2. אתרים זדוניים : ניתן להעביר את אמדיי דרך אתרים שנפגעו או זדוניים. זה עלול להתרחש אם אתה מבקר באתר אינטרנט שנפרץ או לחץ על קישור זדוני שמפעיל הורדה של Drive-by, וכתוצאה מכך תותקן תוכנית זדונית על המערכת שלך ללא ידיעתך.

  3. ערכות ניצול : ערכות ניצול הן ערכות כלים המשמשות פושעי רשת לניצול נקודות תורפה בתוכנה. Amadey עשוי להיות מופץ כך, אשר מנצל את נקודות התורפה של תוכנה ללא תיקון כדי להעביר את התוכנה הזדונית למערכת היעד.

פועל בשקט

מפעילי Amadey יכולים לקבל הרשאות ניהול וגישה מרחוק דרך דפדפן האינטרנט שלהם כדי לפקח על המערכות הנגועות. עם זאת, כל זה מתבצע בשקט ומחוץ לעין המשתמש הנפגע. סביר להניח שהקורבנות אפילו לא יבינו שזיהום בתוכנה זדונית חטפה את המערכת שלהם ושהיא כעת חלק מרשת בוט.

הַתמָדָה

ברגע שבונה הבוטנטים של Amadey חודר למערכת, הוא יכול לבדוק אם קיימים אחד מהכלים הנפוצים ביותר נגד תוכנות זדוניות. כלי הפריצה של Amadey מסוגל להשיג התמדה על ידי שינוי הרישום של Windows, ובכך להבטיח שהאיום יופעל בכל פעם שהמערכת מופעלת מחדש.

יכולות

לכלי הפריצה הזה יש רשימה מעט מוגבלת של יכולות. בונה הבוטנטים של Amadey יכול לאסוף מידע על המארח הנגוע, כולל:

  • מערכת הפעלה.

  • שם משתמש.

  • תצורת רשת.

  • חוּמרָה.

מלבד היכולת לחטוף מחשב ולהוסיף אותו ל-botnet, אשר ישמש לביצוע התקפות DDoS (Distributed-Denial-of-Service) בפוטנציה, האיום הזה יכול לשמש גם כמטען שלב ראשון, שיעשה לשמש דלת אחורית לתוקפים להדביק את המארח בתוכנות זדוניות נוספות שעלולות להיות מאיימות יותר.

אף אחד מאיתנו לא יכול להרשות לעצמו להתעלם מאבטחת סייבר בימינו. הקפד להוריד ולהתקין חבילת תוכנות אנטי-וירוס לגיטימית שתשמור על בטיחות המערכת שלך.

כיצד להימנע מהבוט של Amadey

כדי למנוע את התוכנה הזדונית של Amadey ואיומים דומים, שקול ליישם את אמצעי המניעה הבאים:

  1. שמור על עדכון תוכנה : עדכן באופן קבוע את מערכת ההפעלה, דפדפני האינטרנט ויישומי תוכנה אחרים.

  2. היזהר עם קבצים מצורפים לאימייל : אם אתה מקבל קובץ מצורף לא צפוי, ודא את מקוריותו מול השולח דרך ערוץ תקשורת אחר לפני פתיחתו.

  3. היזהר מניסיונות דיוג : הימנע מלחיצה על קישורים בהודעות דוא"ל או הודעות שנראות חשודות או מגיעות ממקורות לא מהימנים.

  4. השתמש בתוכנת אבטחה מהימנה : התקן במערכת שלך מוצרי אנטי-וירוס ותוכנות נגד תוכנות זדוניות ושמור אותן מעודכנות.

  5. גיבוי נתונים רגיל : שמרו על גיבויים קבועים של הקבצים והנתונים החשובים שלכם בהתקני אחסון נפרדים או בענן. במקרה של הדבקה בתוכנה זדונית או תקריות אחרות, גיבויים אחרונים מבטיחים שתוכל לשחזר את הנתונים שלך ולמזער נזק פוטנציאלי.

  6. הפעל הרגלי גלישה בטוחה : הימנע מביקור באתרים חשודים או לא מהימנים. היזהר בעת לחיצה על פרסומות או קישורים, מכיוון שהם עלולים להפנות אותך לאתרים זדוניים שמפיצים תוכנות זדוניות.

דוח ניתוח

מידע כללי

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
גודל הקובץ: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

שֵׁם ערך
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value נתונים API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

מגמות

הונאת דוא"ל בנושא השעיית חשבון cPanel

פישינג, ספאם
פושעי סייבר משתמשים לעתים קרובות במונחים טכניים ושירותים מהימנים כדי לגרום להונאות שלהם להיראות אמינות. הונאת דוא"ל השעיית חשבון cPanel היא דוגמה מובהקת לטקטיקה זו, המשתמשת בשפה מדאיגה כדי ללחוץ על הנמענים לפעול במהירות. הודעות דוא"ל אלו הן הונאה לחלוטין ואינן קשורות לחברות, ארגונים או ספקי שירותים לגיטימיים, כולל cPanel או Microsoft Outlook. הסבר על טענות השעיה שקריות הודעות ההונאה טוענות כי...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
30,038
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...