Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Amadey

Amadey

GoldSparrow -ra Malware-ben
Fordítás ide:

Az Amadey hackereszköz egy botnet-építő, amelyet ismeretlen, rosszindulatú fenyegetés szereplői fejlesztettek ki, és különféle hackerfórumokon értékesítik. Először 2019 elején jelent meg. Ez a fenyegetés első szintű rakományként is használható, amely további rosszindulatú programokat juttathat a gazdagépbe. Kezdetben az Amadey hackereszköz körülbelül 500 dollárba került. Ez a fenyegetés elterjedt, és úgy tűnik, jól fogyott, mivel a malware-kutatók felfedezték, hogy az Amadey eszközt számos különböző kampányban használják világszerte. Még a hírhedt TA505 hackercsoport is rátette a kezét az Amadey fenyegetésre.

Elosztási taktika

Az Amadey egy olyan rosszindulatú program, amely elsősorban Windows-alapú rendszereket céloz meg. Általában különféle módokon lép be a célrendszerbe, többek között:

  1. E-mail mellékletek : Az Amadey rosszindulatú mellékleteket, például fertőzött Microsoft Office-dokumentumokat (pl. Word- vagy Excel-fájlokat), PDF-fájlokat vagy ZIP-archívumot tartalmazó spam-e-maileken keresztül terjeszthet. Amint a címzett megnyitja a mellékletet, a rosszindulatú program végrehajtható.
  2. Rosszindulatú webhelyek : Az Amadey feltört vagy rosszindulatú webhelyeken keresztül is elérhető. Ez akkor fordulhat elő, ha meglátogat egy feltört webhelyet, vagy rákattint egy rosszindulatú hivatkozásra, amely meghajtó letöltést indít el, és ennek eredményeként egy rosszindulatú program az Ön tudta nélkül települ a rendszerére.
  3. Exploit Kits : A kizsákmányoló készletek olyan eszközkészletek, amelyeket a kiberbűnözők a szoftverek sebezhetőségeinek kihasználására használnak. Az Amadey ilyen módon is terjeszthető, ami kihasználja a javítatlan szoftver sebezhetőségeit, hogy a rosszindulatú programokat a célrendszerre szállítsa.

Csendesen működik

Az Amadey operátorai adminisztrátori jogosultságokat és távoli hozzáférést kaphatnak webböngészőjükön keresztül, hogy parancsolhassák a fertőzött rendszereket. Mindez azonban csendben és az áldozat felhasználó látókörén kívül történik. Valószínűleg az áldozatok észre sem veszik, hogy egy rosszindulatú program eltérítette a rendszerüket, és az immár egy botnet része.

Kitartás

Amint az Amadey botnet-készítő beszivárog egy rendszerbe, ellenőrizni tudja, hogy megtalálható-e a leggyakoribb kártevőirtó eszközök valamelyike. Az Amadey hackereszköz a Windows Registry módosításával képes tartósabbá válni, így biztosítva, hogy a fenyegetés minden újraindításkor elinduljon.

Képességek

Ez a hackereszköz némileg korlátozott képességekkel rendelkezik. Az Amadey botnet-építő információkat gyűjthet a fertőzött gazdagépről, többek között:

  • Operációs rendszer.
  • Felhasználónév.
  • Hálózati konfiguráció.
  • Hardver.

Amellett, hogy képes eltéríteni egy számítógépet, és hozzáadni egy botnethez, amelyet potenciálisan DDoS (Distributed-Denial-of-Service) támadások végrehajtására használnának, ez a fenyegetés első szintű hasznos adatként is használható, ami hátsó ajtóként szolgál a támadók számára, hogy megfertőzzék a gazdagépet további és potenciálisan fenyegetőbb kártevőkkel.

Egyikünk sem engedheti meg magának, hogy figyelmen kívül hagyja a kiberbiztonságot a mai korban. Győződjön meg arról, hogy letölt és telepít egy legitim víruskereső szoftvercsomagot, amely megőrzi a rendszer biztonságát.

Hogyan kerüljük el az Amadey Botot

Az Amadey malware és hasonló fenyegetések elkerülése érdekében fontolja meg a következő megelőző intézkedések végrehajtását:

  1. Szoftver frissítése : Rendszeresen frissítse operációs rendszerét, webböngészőit és egyéb szoftveralkalmazásait.
  2. Legyen óvatos az e-mail mellékletekkel : Ha váratlan mellékletet kap, ellenőrizze annak hitelességét a feladóval egy másik kommunikációs csatornán keresztül, mielőtt megnyitná.
  3. Legyen óvatos az adathalász kísérletekkel : Ne kattintson az e-mailekben vagy üzenetekben lévő linkekre, amelyek gyanúsnak tűnnek vagy nem megbízható forrásból származnak.
  4. Megbízható biztonsági szoftver használata : Telepítse a rendszerére megbízható víruskereső termékeket és kártevőirtó szoftvereket, és tartsa naprakészen azokat.
  5. Rendszeres adatmentés : Rendszeresen készítsen biztonsági másolatot fontos fájljairól és adatairól külön tárolóeszközökön vagy a felhőben. Rosszindulatú programfertőzés vagy egyéb incidens esetén a közelmúltban készült biztonsági mentések biztosítják az adatok visszaállítását és a lehetséges károk minimalizálását.
  6. Gyakorolja a biztonságos böngészési szokásokat : Kerülje a gyanús vagy nem megbízható webhelyek látogatását. Legyen óvatos, amikor hirdetésekre vagy linkekre kattint, mivel ezek rosszindulatú programokat terjesztő rosszindulatú webhelyekre irányíthatnak át.

Vizsgálati jelentés

Általános információ

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Fájl méret: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Név Érték
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Adat API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

Kapcsolódó hozzászólások

Felkapott

CPanel fiók felfüggesztésével kapcsolatos e-mailes...

Adathalászat, Spam
A kiberbűnözők gyakran visszaélnek megbízható szakkifejezésekkel és szolgáltatásokkal, hogy átveréseik hihetőnek tűnjenek. A cPanel fiók felfüggesztésével kapcsolatos e-mailes átverés egyértelmű példa erre a taktikára, amely riasztó nyelvezettel próbálja a címzetteket gyors cselekvésre bírni. Ezek az e-mailek teljes mértékben csalárdak, és nem kapcsolódnak semmilyen legitim vállalathoz,...

Legnézettebb

Betöltés...