Любишь медок – люби и холодок: кряки используются для распространения вредоносного ПО Amadey через SmokeLoader

Киберпреступники начали использовать вредоносное ПО SmokeLoader, чтобы развертывать вредоноса Amadey Bot на устройствах жертв, утверждают исследователи из ASEC .

Amadey Bot используется для кражи информации и установки дополнительных вредоносных программ, а SmokeLoader предоставляет злоумышленникам дополнительные возможности, связанные с кражей информации и установкой вредоносных плагинов. По словам специалистов, операторы Amadey упаковывают вредоноса в SmokeLoader и прячут “подарок” в пиратском ПО и программах, генерирующих ключи.

Цепочка заражения выглядит так:

• Запускается SmokeLoader, внедряющий Amadey в процесс проводника (explorer.exe);

• Amadey копирует себя в папку Temp и назначает папку, в которой она существует, как папку запуска. Это позволяет вредоносу запускаться после перезагрузки устройства;

• Amadey подключается к C&C-серверу злоумышленников, позволяя хакерам узнать информацию о компьютере (имя пользователя, версия ОС, сведения об установленных антивирусных программах);

• Обработав полученную информацию, C&C-сервер дает команду вредоносному ПО, чтобы оно загрузило дополнительные плагины и копии других программ для кражи информации.

Чаще всего злоумышленников интересуют электронная почта, FTP-серверы, VPN-клиенты и другое ПО, содержащее информацию о жертве.