Обновленный троян Amadey раздается через кряки с внедренным SmokeLoader

Обновленный троян Amadey раздается через кряки с внедренным SmokeLoader

Обновленный троян Amadey раздается через кряки с внедренным SmokeLoader

Эксперты корейской ИБ-компании AhnLab обнаружили новую версию бота Amadey, распространяемую с помощью загрузчика SmokeLoader. Последний в рамках данной кампании отдается с многочисленных сайтов в комплекте с пиратским софтом.

Модульный Windows-троян Amadey известен ИБ-сообществу с 2018 года. Он умеет воровать информацию из различных программ и загружать других зловредов — в прошлом эту функциональность использовали операторы GandCrab и RAT-трояна FlawedAmmyy.

Боты Amadey обычно распространялись с помощью эксплойт-паков (RIG, Fallout). Как оказалось, для недавно появившейся версии 3.21 злоумышленники избрали другую схему доставки. Обновленного зловреда загружает SmokeLoader, который приходит вместе с кряком или кейгеном.

При запуске даунлоудер внедряет свой основной модуль в запущенный процесс explorer.exe и при выполнении загружает со стороннего сервера Amadey. Целевой вредонос при запуске копирует себя в папку временных файлов (как %TEMP%\9487d68b99\bguuwe[.]exe) и прописывается на автозапуск. Для обеспечения постоянного присутствия в системе он также может создать новое запланированное задание.

Обосновавшись у жертвы, Amadey собирает информацию о системе (имя компьютера, юзернейм, версия ОС, архитектура CPU, установленные антивирусы и т. п.), а затем подключается к командному серверу и отправляет отчет об успешном заражении. В ответ оператор может отдать команду на загрузку дополнительного модуля или другой вредоносной программы — при тестировании образец попытался скачать инфостилера RedLine.

Из антивирусных программ обновленный бот умеет фиксировать присутствие продуктов Avast и Avira, Kaspersky, ESET, Norton, Sophos, AVG, Panda Security, Dr. Web, Bitdefender, Comodo, Qihoo 360 и, возможно, Microsoft Defender на Windows 10 и Windows Server 2019.

Список приложений, которым оперирует плагин, предназначенный для кражи данных (cred.dll):

  • Winbox (приложение для управления устройствами на базе Mikrotik RouterOS);
  • Outlook;
  • FTP-клиенты FileZilla, Total Commander, WinSCP;
  • чат-клиент Pidgin;
  • RealVNC, TightVNC, TigerVNC.

Троян Amadey также периодически делает скриншоты и отсылает их на свой C2-сервер. По состоянию на 23 июля версию 3.21 зловреда детектирует 41 антивирус из 66 в коллекции VirusTotal.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru