Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Amadey

Amadey

Nga GoldSparrowMalware
Përkthe në:

Mjeti i hakerimit Amadey është një ndërtues botnet i zhvilluar nga aktorë të panjohur kërcënimesh me mendje të keqe dhe shitet në forume të ndryshme hakerimi. Ai u shfaq për herë të parë në fillim të vitit 2019. Ky kërcënim mund të përdoret gjithashtu si një ngarkesë e fazës së parë që mund të prezantojë malware shtesë te hosti. Fillimisht, mjeti i hakerimit Amadey kushtoi afërsisht 500 dollarë. Ky kërcënim fitoi pak tërheqje dhe duket se është shitur mirë, pasi studiuesit e malware kanë pikasur mjetin Amadey duke u përdorur në shumë fushata të ndryshme në mbarë botën. Edhe grupi famëkeq i hakerëve TA505 mori në dorë kërcënimin e Amadey.

Taktikat e shpërndarjes

Amadey është një lloj malware që synon kryesisht sistemet e bazuara në Windows. Zakonisht hyn në një sistem të synuar përmes mjeteve të ndryshme, duke përfshirë:

  1. Bashkëngjitjet me email : Amadey mund të shpërndahet përmes emaileve të padëshiruara që përmbajnë bashkëngjitje me qëllim të keq, të tilla si dokumente të infektuara të Microsoft Office (p.sh. skedarë Word ose Excel), skedarë PDF ose arkiva ZIP. Pasi marrësi të hapë bashkëngjitjen, malware mund të ekzekutohet.
  2. Faqet e internetit me qëllim të keq : Amadey mund të shpërndahet përmes faqeve të internetit të komprometuara ose me qëllim të keq. Kjo mund të ndodhë nëse vizitoni një uebsajt të komprometuar ose klikoni në një lidhje me qëllim të keq që shkakton një shkarkim me makinë, duke rezultuar në instalimin e një programi keqdashës në sistemin tuaj pa dijeninë tuaj.
  3. Kompletet e shfrytëzimit : Kompletet e shfrytëzimit janë mjete të përdorura nga kriminelët kibernetikë për të shfrytëzuar dobësitë në softuer. Amadey mund të shpërndahet kështu, gjë që përfiton nga dobësitë e softuerit të papatchuar për të shpërndarë malware në sistemin e synuar.

Funksionon në heshtje

Operatorët Amadey mund të fitojnë privilegje administrative dhe akses në distancë nëpërmjet shfletuesit të tyre të internetit për të komanduar sistemet e infektuara. Megjithatë, e gjithë kjo kryhet në heshtje dhe jashtë shikimit të përdoruesit të viktimës. Ka të ngjarë që viktimat as të mos e kuptojnë se një infeksion malware ka rrëmbyer sistemin e tyre dhe se ai tani është pjesë e një botnet.

Qëndrueshmëria

Sapo ndërtuesi i botnetit Amadey të infiltrojë një sistem, ai mund të kontrollojë nëse ndonjë nga mjetet më të zakonshme anti-malware është i pranishëm. Mjeti i hakerimit Amadey është në gjendje të fitojë këmbëngulje duke modifikuar Regjistrin e Windows, duke siguruar kështu që kërcënimi të lansohet sa herë që sistemi të rindizet.

aftësitë

Ky mjet hakerimi ka një listë disi të kufizuar aftësish. Ndërtuesi i botnetit Amadey mund të mbledhë informacione rreth hostit të infektuar, duke përfshirë:

  • Sistemi Operativ.
  • Emri i përdoruesit.
  • Konfigurimi i rrjetit.
  • Hardware.

Përveç aftësisë për të rrëmbyer një kompjuter dhe për ta shtuar atë në një botnet, i cili do të përdoret për të kryer sulme të mundshme DDoS (Distributed-Denial-of-Service), ky kërcënim mund të përdoret gjithashtu si një ngarkesë e fazës së parë, e cila do të shërbejnë si një derë e pasme për sulmuesit për të infektuar hostin me malware shtesë dhe potencialisht më kërcënues.

Askush prej nesh nuk mund të përballojë të anashkalojë sigurinë kibernetike në këtë kohë dhe epokë. Sigurohuni që të shkarkoni dhe instaloni një paketë të ligjshme softueri antivirus që do ta mbajë sistemin tuaj të sigurt.

Si të shmangni Amadey Bot

Për të ndihmuar në shmangien e malware Amadey dhe kërcënime të ngjashme, merrni parasysh zbatimin e masave parandaluese të mëposhtme:

  1. Mbani të përditësuar softuerin : Përditësoni rregullisht sistemin tuaj operativ, shfletuesit e internetit dhe aplikacionet e tjera softuerike.
  2. Tregoni kujdes me bashkëngjitjet e postës elektronike : Nëse merrni një bashkëngjitje të papritur, verifikoni vërtetësinë e tij me dërguesin përmes një kanali tjetër komunikimi përpara se ta hapni.
  3. Jini të kujdesshëm ndaj përpjekjeve të phishing : Shmangni klikimin në lidhjet në email ose mesazhe që duken të dyshimta ose vijnë nga burime të pabesueshme.
  4. Përdorni softuer të besueshëm të sigurisë : Instaloni produkte antivirus me reputacion dhe softuer anti-malware në sistemin tuaj dhe mbajeni atë të përditësuar.
  5. Rezervimi i rregullt i të dhënave : Mbani kopje rezervë të rregullt të skedarëve dhe të dhënave tuaja të rëndësishme në pajisje të veçanta ruajtjeje ose në cloud. Në rast të një infeksioni malware ose incidentesh të tjera, të kesh kopje rezervë të kohëve të fundit siguron që të mund të rivendosësh të dhënat e tua dhe të minimizosh dëmet e mundshme.
  6. Ushtroni zakone të sigurta të shfletimit : Shmangni vizitën e faqeve të internetit të dyshimta ose të pabesueshme. Jini të kujdesshëm kur klikoni reklama ose lidhje, pasi ato mund t'ju ridrejtojnë në faqet e internetit me qëllim të keq që shpërndajnë malware.

Raporti i analizës

Informacion i pergjithshem

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Madhësia e skedarit: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Emri Vlera
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Të dhënat API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

Postime të ngjashme

Në trend

Mashtrim me email për pezullimin e llogarisë cPanel

Fishing, Spam
Kriminelët kibernetikë shpesh abuzojnë me termat dhe shërbimet teknike të besueshme për t'i bërë mashtrimet e tyre të duken të besueshme. Mashtrimi me email-et e pezullimit të llogarisë cPanel është një shembull i qartë i kësaj taktike, duke përdorur gjuhë alarmuese për t'i bërë presion marrësit që të veprojnë shpejt. Këto email-e janë tërësisht mashtruese dhe nuk janë të lidhura me asnjë...

Më e shikuara

Po ngarkohet...