Обновленный троян Amadey раздается через кряки с внедренным SmokeLoader

Татьяна Никитина 25 Июля 2022 - 16:34

Домашние пользователи

...

Эксперты корейской ИБ-компании AhnLab обнаружили новую версию бота Amadey, распространяемую с помощью загрузчика SmokeLoader. Последний в рамках данной кампании отдается с многочисленных сайтов в комплекте с пиратским софтом.

Модульный Windows-троян Amadey известен ИБ-сообществу с 2018 года. Он умеет воровать информацию из различных программ и загружать других зловредов — в прошлом эту функциональность использовали операторы GandCrab и RAT-трояна FlawedAmmyy.

Боты Amadey обычно распространялись с помощью эксплойт-паков (RIG, Fallout). Как оказалось, для недавно появившейся версии 3.21 злоумышленники избрали другую схему доставки. Обновленного зловреда загружает SmokeLoader, который приходит вместе с кряком или кейгеном.

При запуске даунлоудер внедряет свой основной модуль в запущенный процесс explorer.exe и при выполнении загружает со стороннего сервера Amadey. Целевой вредонос при запуске копирует себя в папку временных файлов (как %TEMP%\9487d68b99\bguuwe[.]exe) и прописывается на автозапуск. Для обеспечения постоянного присутствия в системе он также может создать новое запланированное задание.

Обосновавшись у жертвы, Amadey собирает информацию о системе (имя компьютера, юзернейм, версия ОС, архитектура CPU, установленные антивирусы и т. п.), а затем подключается к командному серверу и отправляет отчет об успешном заражении. В ответ оператор может отдать команду на загрузку дополнительного модуля или другой вредоносной программы — при тестировании образец попытался скачать инфостилера RedLine.

Из антивирусных программ обновленный бот умеет фиксировать присутствие продуктов Avast и Avira, Kaspersky, ESET, Norton, Sophos, AVG, Panda Security, Dr. Web, Bitdefender, Comodo, Qihoo 360 и, возможно, Microsoft Defender на Windows 10 и Windows Server 2019.

Список приложений, которым оперирует плагин, предназначенный для кражи данных (cred.dll):

Winbox (приложение для управления устройствами на базе Mikrotik RouterOS);
Outlook;
FTP-клиенты FileZilla, Total Commander, WinSCP;
чат-клиент Pidgin;
RealVNC, TightVNC, TigerVNC.

Троян Amadey также периодически делает скриншоты и отсылает их на свой C2-сервер. По состоянию на 23 июля версию 3.21 зловреда детектирует 41 антивирус из 66 в коллекции VirusTotal.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 21:29

Корпорации Системы защиты от несанкционированного доступа Постквантовая криптография Инфотекс

ИнфоТеКС представила квантовый генератор случайных чисел ViPNet QRNG

Компания «ИнфоТеКС» сообщила о расширении линейки квантовых криптографических систем ViPNet QCS. В неё вошёл новый продукт — ViPNet QRNG, квантовый генератор случайных чисел. Это устройство создаёт случайные последовательности не за счёт программных алгоритмов и не на базе обычных шумовых процессов, а с опорой на квантовые явления.

Именно это и считается его ключевой особенностью: такая генерация должна быть не псевдослучайной, а физически непредсказуемой.

Подобные последовательности нужны в самых разных задачах. В первую очередь — в криптографии, где случайные числа используются при создании секретных ключей для симметричных и асимметричных алгоритмов. Но область применения этим не ограничивается: такие решения могут использоваться и в исследовательских проектах, и в финансовой сфере, и в некоторых сценариях, связанных с ИИ.

Сам генератор выполнен в формфакторе M.2, то есть его можно встраивать в программно-аппаратные комплексы. По замыслу разработчика, устройство может применяться как альтернатива и программным генераторам случайных чисел, и более привычным аппаратным решениям, которые опираются на шумовые процессы.

В основе работы ViPNet QRNG лежит детектирование квазиоднофотонного излучения светодиода с последующей математической обработкой полученного сигнала. Источником такого излучения выступает полупроводниковый светодиод, работающий в непрерывном режиме. Это, как утверждает компания, позволяет повысить интенсивность поступления фотонов на детектор. При этом сам путь от источника излучения к фотодетектору сделан максимально коротким.

В компании отмечают, что при разработке устройства особое внимание уделялось не только самой генерации случайности, но и вопросам воспроизводимости характеристик и проверяемости качества получаемых последовательностей. Это важный момент: в криптографии мало просто заявить, что числа случайны, — нужно ещё подтвердить, что источник энтропии действительно даёт надёжный результат.

По словам представителей «ИнфоТеКС», новый генератор уже используется в некоторых продуктах ViPNet. Также предполагается, что его можно будет интегрировать и в решения других производителей СКЗИ.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!