Обновленный троян Amadey раздается через кряки с внедренным SmokeLoader

Татьяна Никитина 25 Июля 2022 - 16:34

Домашние пользователи

...

Эксперты корейской ИБ-компании AhnLab обнаружили новую версию бота Amadey, распространяемую с помощью загрузчика SmokeLoader. Последний в рамках данной кампании отдается с многочисленных сайтов в комплекте с пиратским софтом.

Модульный Windows-троян Amadey известен ИБ-сообществу с 2018 года. Он умеет воровать информацию из различных программ и загружать других зловредов — в прошлом эту функциональность использовали операторы GandCrab и RAT-трояна FlawedAmmyy.

Боты Amadey обычно распространялись с помощью эксплойт-паков (RIG, Fallout). Как оказалось, для недавно появившейся версии 3.21 злоумышленники избрали другую схему доставки. Обновленного зловреда загружает SmokeLoader, который приходит вместе с кряком или кейгеном.

При запуске даунлоудер внедряет свой основной модуль в запущенный процесс explorer.exe и при выполнении загружает со стороннего сервера Amadey. Целевой вредонос при запуске копирует себя в папку временных файлов (как %TEMP%\9487d68b99\bguuwe[.]exe) и прописывается на автозапуск. Для обеспечения постоянного присутствия в системе он также может создать новое запланированное задание.

Обосновавшись у жертвы, Amadey собирает информацию о системе (имя компьютера, юзернейм, версия ОС, архитектура CPU, установленные антивирусы и т. п.), а затем подключается к командному серверу и отправляет отчет об успешном заражении. В ответ оператор может отдать команду на загрузку дополнительного модуля или другой вредоносной программы — при тестировании образец попытался скачать инфостилера RedLine.

Из антивирусных программ обновленный бот умеет фиксировать присутствие продуктов Avast и Avira, Kaspersky, ESET, Norton, Sophos, AVG, Panda Security, Dr. Web, Bitdefender, Comodo, Qihoo 360 и, возможно, Microsoft Defender на Windows 10 и Windows Server 2019.

Список приложений, которым оперирует плагин, предназначенный для кражи данных (cred.dll):

Winbox (приложение для управления устройствами на базе Mikrotik RouterOS);
Outlook;
FTP-клиенты FileZilla, Total Commander, WinSCP;
чат-клиент Pidgin;
RealVNC, TightVNC, TigerVNC.

Троян Amadey также периодически делает скриншоты и отсылает их на свой C2-сервер. По состоянию на 23 июля версию 3.21 зловреда детектирует 41 антивирус из 66 в коллекции VirusTotal.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Марта 2026 - 18:22

Трояны Малый и средний бизнес Корпорации ГК «Солар»

Хакеры начали использовать Spotify и Chess.com для управления стилером

Киберпреступники нашли ещё один способ маскировать свою активность под совершенно безобидный интернет-трафик. Как сообщили эксперты Solar 4RAYS группы компаний «Солар», злоумышленники начали использовать Spotify и Chess.com для управления стилером MaskGram Stealer, который крадёт учётные данные, содержимое браузеров и другую чувствительную информацию.

Схема построена на методе Dead Drop Resolver. Если совсем просто, адреса управляющих серверов вредоноса не вшиваются прямо в программу, а прячутся в данных аккаунтов на публичных площадках.

В итоге заражённая машина обращается не к какому-нибудь подозрительному IP-адресу, а к легальному и популярному сервису — например, музыкальной платформе или шахматному сайту. Для защитников это выглядит куда менее подозрительно, а обнаружить такую активность становится сложнее.

По данным исследователей, именно так операторы MaskGram Stealer спрятали информацию о серверах управления на Chess.com и Spotify. Сам вредонос при этом довольно универсален: он умеет красть логины и пароли, собирать данные о системе, установленных приложениях и запущенных процессах, вытаскивать информацию из браузеров, почтовых клиентов, мессенджеров, VPN и программ удалённого доступа. Вдобавок он может делать скриншоты экрана и загружать дополнительные модули с серверов управления.

Отдельно специалисты отмечают, что у стилера есть и функции противодействия анализу. То есть это уже не примитивный инструмент, а вполне серьёзный зловред, рассчитанный на более скрытную и устойчивую работу.

Распространяют его, как это часто бывает, через социальную инженерию. В одних случаях вредонос продвигают как платный инструмент для массовой проверки логинов и паролей по утёкшим базам, в других — выдают за «взломанные версии» коммерческого софта. Логика простая: чем шире аудитория, тем выше шанс, что кто-то сам запустит заражённый файл.

В «Соларе» отмечают, что MaskGram Stealer используется как минимум с середины 2025 года и остаётся активным до сих пор. При этом сам подход с DDR для атакующих не новый: раньше такие схемы уже встречались с использованием Steam, Twitter и YouTube. Но теперь список площадок расширился за счёт Spotify и Chess.com — и это ещё раз показывает, что злоумышленники всё охотнее используют привычные массовые сервисы как прикрытие.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!