Descubierta por primera vez en 2018, la cepa de malware Amadey Bot es capaz de realizar reconocimiento del sistema, robo de información e implementación de carga útil. Si bien el malware ha tenido un uso limitado desde 2020, los investigadores informaron recientemente que una nueva versión ha entrado en circulación.
Los ciberdelincuentes han comenzado a usar el malware SmokeLoader para instalar el malware Amadey Bot en los dispositivos de las víctimas con la meta de robar información e instalar malware adicional al recibir comandos del atacante.
Los investigadores de AhnLab descubrieron que los operadores de la nueva variante de Amadey han disfrazado SmokeLoader con grietas de software y claves falsas para software comercial que la gente suele usar para probar y activar software pirateado. Cuando los usuarios descargan el malware asumiendo que es una versión crackeada o un generador de claves, SmokeLoader inyecta su carga maliciosa en el proceso del Explorador de Windows que se está ejecutando actualmente (explorer.exe) y luego procede a descargar Amadey en el sistema infectado, los investigadores de AhnLab descubierto.
Una vez que se ejecuta el malware, Amadey se aloja en la carpeta TEMP como carpeta de inicio, lo que garantiza que el malware persistirá incluso después de reiniciar el sistema. Como medida de persistencia adicional, Amadey también se registra como una tarea programada en el Programador de tareas.
Una vez que el malware completa sus procesos de configuración inicial, se pone en contacto con un servidor de comando y control remoto controlado por el atacante (C2) y descarga un complemento para recopilar información del entorno. Esto incluye detalles como la computadora y el nombre de usuario, la información del sistema operativo, una lista de aplicaciones en el sistema y una lista de todas las herramientas antimalware que contiene.
Una vez que se instala el malware, puede permanecer en el sistema para robar información del usuario y descargar cargas útiles adicionales por lo que es de suma importancia estar atentos y prevenirse contra esta amenaza. Los usuarios deben aplicar el parche más reciente para el sistema operativo y los programas, como los navegadores de Internet, y actualizar V3 a la última versión para evitar infecciones de malware.
