Обновленный троян Amadey раздается через кряки с внедренным SmokeLoader
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Обновленный троян Amadey раздается через кряки с внедренным SmokeLoader

Татьяна Никитина 25 Июля 2022 - 16:34
...
Обновленный троян Amadey раздается через кряки с внедренным SmokeLoader

Эксперты корейской ИБ-компании AhnLab обнаружили новую версию бота Amadey, распространяемую с помощью загрузчика SmokeLoader. Последний в рамках данной кампании отдается с многочисленных сайтов в комплекте с пиратским софтом.

Модульный Windows-троян Amadey известен ИБ-сообществу с 2018 года. Он умеет воровать информацию из различных программ и загружать других зловредов — в прошлом эту функциональность использовали операторы GandCrab и RAT-трояна FlawedAmmyy.

Боты Amadey обычно распространялись с помощью эксплойт-паков (RIG, Fallout). Как оказалось, для недавно появившейся версии 3.21 злоумышленники избрали другую схему доставки. Обновленного зловреда загружает SmokeLoader, который приходит вместе с кряком или кейгеном.

При запуске даунлоудер внедряет свой основной модуль в запущенный процесс explorer.exe и при выполнении загружает со стороннего сервера Amadey. Целевой вредонос при запуске копирует себя в папку временных файлов (как %TEMP%\9487d68b99\bguuwe[.]exe) и прописывается на автозапуск. Для обеспечения постоянного присутствия в системе он также может создать новое запланированное задание.

Обосновавшись у жертвы, Amadey собирает информацию о системе (имя компьютера, юзернейм, версия ОС, архитектура CPU, установленные антивирусы и т. п.), а затем подключается к командному серверу и отправляет отчет об успешном заражении. В ответ оператор может отдать команду на загрузку дополнительного модуля или другой вредоносной программы — при тестировании образец попытался скачать инфостилера RedLine.

Из антивирусных программ обновленный бот умеет фиксировать присутствие продуктов Avast и Avira, Kaspersky, ESET, Norton, Sophos, AVG, Panda Security, Dr. Web, Bitdefender, Comodo, Qihoo 360 и, возможно, Microsoft Defender на Windows 10 и Windows Server 2019.

Список приложений, которым оперирует плагин, предназначенный для кражи данных (cred.dll):

  • Winbox (приложение для управления устройствами на базе Mikrotik RouterOS);
  • Outlook;
  • FTP-клиенты FileZilla, Total Commander, WinSCP;
  • чат-клиент Pidgin;
  • RealVNC, TightVNC, TigerVNC.

Троян Amadey также периодически делает скриншоты и отсылает их на свой C2-сервер. По состоянию на 23 июля версию 3.21 зловреда детектирует 41 антивирус из 66 в коллекции VirusTotal.

Следующая главная новость »
AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Перед Пасхой мошенники запустили волну атак через открытки и чат-ботов
Яков Шпунт 09 Апреля 2026 - 09:16
ФишингМошенничествоОнлайн-мошенничество Домашние пользователи
Перед Пасхой мошенники запустили волну атак через открытки и чат-ботов

В преддверии Пасхи злоумышленники массово рассылают пасхальные открытки с фишинговыми ссылками или вредоносными вложениями. Чаще всего для этого используются мессенджеры. Такие сообщения могут сопровождаться предложениями поучаствовать в конкурсах, благотворительных акциях или купить куличи.

О росте активности мошенников сообщает РИА Новости со ссылкой на платформу «Мошеловка».

Вредоносные приложения также маскируются под трансляции богослужений и других церемоний, включая схождение Благодатного огня.

Встречаются и другие схемы мошенничества. Так, юрист, подполковник внутренней службы в отставке Елена Браун рассказала РИА Новости о схеме, связанной с якобы возможностью списания долгов:

«Такие сообщения поступают от злоумышленников через фальшивые банковские приложения или по телефону — для списания долга они просят граждан передать личные данные, коды из СМС или другую информацию».

Ещё одной распространённой формой мошенничества остаётся фишинг. В качестве повода для перехода на поддельную страницу злоумышленники используют предложения «поставить свечку онлайн» или «оставить записку за здравие».

Цель таких схем, как предупреждает юрист, — сбор персональных данных. Пасхальная тематика также используется при создании фальшивых сайтов магазинов и маркетплейсов.

Широко распространены, по словам Елены Браун, и псевдорозыгрыши в мессенджерах:

«Мошенники создают в Telegram чат-боты, предлагающие получить пасхальные подарки или премиум-подписку от имени Telegram, Roblox или маркетплейсов. Чтобы получить бонусы в виде „пасхальных яиц“, пользователям предлагают подписаться на сомнительные каналы „спонсоров“».

AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!
iPhone и iPad допустили к данным уровня NATO Restricted
Новость
iPhone и iPad допустили к данным уровня NATO Restricted
Новая группировка PseudoSticky рассылает зловред от имени ОПК и судов
Новость
Новая группировка PseudoSticky рассылает зловред от имени ОП...
Февральские патчи Microsoft устранили 6 уже используемых уязвимостей
Новость
Февральские патчи Microsoft устранили 6 уже используемых уяз...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.