Amadey bot
Az AhnLab Security Emergency Response Center (ASEC) kutatói felhívják a figyelmet hogy az Amadey bot-ot a LockBit 3.0 ransomware telepítésére használják feltört rendszereken.
A múlt hónapban az ASEC azonosította a Dél-Koreában népszerű KakaoTalk üzenetküldő szolgáltatással terjesztett kártevőt egy adathalász kampány részeként.
Az Amadey bot elsődleges funkciója az szenzitív információk gyűjtése a fertőzött géptől. Július elején a SmokeLoader segítségével terjedt el, amely egy olyanmalware, amely hasonló funkciókkal rendelkezik.
Az Amadey botot, a LockBit telepítéséhez használt kódot kétféle módon terjesztik: az rosszindulatú Word-dokumentumfájlként és a Word fájl ikonjaként megjelenő rejtett futtatható fájlként.
A ASEC elemzése egy Microsoft Word-fájlon ( 심시아.docx ) alapul, amelyet 2022. október 28-án töltöttek fel a VirusTotalra. A dokumentum egy rosszindulatú VBA-makrót tartalmaz, amely – ha az áldozat engedélyezi – PowerShell-parancsot futtat az Amadey letöltéséhez. Lefutás után Amadey letölti és elindítja a további parancsokat egy távoli szerverről, amely tartalmazza a LockBit ransomware-t PowerShell (.ps1) vagy bináris (.exe) formátumban.