Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Amadey

Amadey

Do GoldSparrow w Złośliwe oprogramowanie
Przetłumacz na:

Narzędzie hakerskie Amadey to narzędzie do tworzenia botnetów opracowane przez nieznanych cyberprzestępców i sprzedawane na różnych forach hakerskich. Po raz pierwszy pojawiło się na początku 2019 roku. Zagrożenie to może być również wykorzystywane jako ładunek pierwszego etapu, który może wprowadzić do hosta dodatkowe szkodliwe oprogramowanie. Początkowo narzędzie hakerskie Amadey kosztowało około 500 USD. Zagrożenie to zyskało na popularności i wydaje się, że dobrze się sprzedawało, ponieważ badacze złośliwego oprogramowania zauważyli, że narzędzie Amadey jest używane w wielu różnych kampaniach na całym świecie. Nawet niesławna grupa hakerska TA505 dostała w swoje ręce zagrożenie Amadey.

Taktyka dystrybucji

Amadey to rodzaj złośliwego oprogramowania, którego celem są przede wszystkim systemy oparte na systemie Windows. Zwykle dostaje się do systemu docelowego na różne sposoby, w tym:

  1. Załączniki wiadomości e-mail : Firma Amadey może być rozpowszechniana za pośrednictwem wiadomości spamowych zawierających złośliwe załączniki, takie jak zainfekowane dokumenty Microsoft Office (np. pliki Word lub Excel), pliki PDF lub archiwa ZIP. Gdy odbiorca otworzy załącznik, złośliwe oprogramowanie może zostać uruchomione.
  2. Złośliwe strony internetowe : Amadey może być dostarczany za pośrednictwem zainfekowanych lub złośliwych stron internetowych. Może się to zdarzyć, jeśli odwiedzisz zaatakowaną witrynę lub klikniesz złośliwy link, który uruchamia automatyczne pobieranie, co powoduje zainstalowanie złośliwego programu w twoim systemie bez twojej wiedzy.
  3. Zestawy exploitów : zestawy exploitów to zestawy narzędzi wykorzystywane przez cyberprzestępców do wykorzystywania luk w oprogramowaniu. Amadey może być dystrybuowany w ten sposób, który wykorzystuje niezałatane luki w oprogramowaniu w celu dostarczenia złośliwego oprogramowania do systemu docelowego.

Działa cicho

Operatorzy Amadey mogą uzyskać uprawnienia administracyjne i zdalny dostęp za pośrednictwem przeglądarki internetowej, aby sterować zainfekowanymi systemami. Wszystko to jednak odbywa się po cichu i poza zasięgiem wzroku ofiary. Jest prawdopodobne, że ofiary mogą nawet nie zdawać sobie sprawy, że infekcja złośliwym oprogramowaniem przejęła kontrolę nad ich systemem i że jest on teraz częścią botnetu.

Trwałość

Gdy narzędzie do tworzenia botnetów Amadey zinfiltruje system, może sprawdzić, czy obecne jest jedno z najpopularniejszych narzędzi do ochrony przed złośliwym oprogramowaniem. Narzędzie hakerskie Amadey jest w stanie zyskać trwałość, modyfikując rejestr systemu Windows, zapewniając w ten sposób, że zagrożenie zostanie uruchomione przy każdym ponownym uruchomieniu systemu.

Możliwości

To narzędzie hakerskie ma nieco ograniczoną listę możliwości. Kreator botnetu Amadey może zbierać informacje o zainfekowanym hoście, w tym:

  • System operacyjny.
  • Nazwa użytkownika.
  • Konfiguracja sieci.
  • Sprzęt komputerowy.

Oprócz możliwości przejęcia komputera i dodania go do botnetu, który byłby potencjalnie wykorzystywany do przeprowadzania ataków DDoS (Distributed-Denial-of-Service), zagrożenie to może być również wykorzystane jako ładunek pierwszego stopnia, który służą jako backdoor dla atakujących w celu zainfekowania hosta dodatkowym i potencjalnie bardziej niebezpiecznym złośliwym oprogramowaniem.

W dzisiejszych czasach nikt z nas nie może sobie pozwolić na lekceważenie cyberbezpieczeństwa. Upewnij się, że pobrałeś i zainstalowałeś legalny pakiet oprogramowania antywirusowego, który zapewni bezpieczeństwo Twojego systemu.

Jak uniknąć bota Amadey

Aby uniknąć złośliwego oprogramowania firmy Amadey i podobnych zagrożeń, rozważ zastosowanie następujących środków zapobiegawczych:

  1. Aktualizuj oprogramowanie : Regularnie aktualizuj system operacyjny, przeglądarki internetowe i inne aplikacje.
  2. Zachowaj ostrożność w przypadku załączników wiadomości e-mail : Jeśli otrzymasz nieoczekiwany załącznik, przed jego otwarciem sprawdź jego autentyczność u nadawcy za pośrednictwem innego kanału komunikacji.
  3. Uważaj na próby wyłudzania informacji : unikaj klikania łączy w e-mailach lub wiadomościach, które wydają się podejrzane lub pochodzą z niezaufanych źródeł.
  4. Używaj niezawodnego oprogramowania zabezpieczającego : zainstaluj w swoim systemie renomowane produkty antywirusowe i oprogramowanie chroniące przed złośliwym oprogramowaniem i aktualizuj je.
  5. Regularne kopie zapasowe danych : Regularnie twórz kopie zapasowe ważnych plików i danych na oddzielnych urządzeniach pamięci masowej lub w chmurze. W przypadku infekcji złośliwym oprogramowaniem lub innych incydentów posiadanie najnowszych kopii zapasowych zapewnia możliwość przywrócenia danych i zminimalizowania potencjalnych szkód.
  6. Ćwicz nawyki bezpiecznego przeglądania : Unikaj odwiedzania podejrzanych lub niezaufanych stron internetowych. Zachowaj ostrożność podczas klikania reklam lub linków, ponieważ mogą one przekierować Cię do złośliwych witryn rozpowszechniających złośliwe oprogramowanie.

Raport z analizy

Informacje ogólne

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Rozmiar pliku: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Imię Wartość
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Dane API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

powiązane posty

Popularne

Oszustwo e-mailowe dotyczące zawieszenia konta cPanel

Phishing, Spam
Cyberprzestępcy często nadużywają zaufanych terminów i usług technicznych, aby ich oszustwa wydawały się wiarygodne. Oszustwo e-mailowe z żądaniem zawieszenia konta cPanel jest wyraźnym przykładem tej taktyki, polegającej na użyciu alarmującego języka, aby wymusić na odbiorcach szybkie działanie. Te e-maile są całkowicie fałszywe i nie są powiązane z żadnymi legalnymi firmami, organizacjami ani...

Najczęściej oglądane

Ładowanie...