Киберпреступники начали использовать вредоносное ПО SmokeLoader, чтобы развертывать вредоноса Amadey Bot на устройствах жертв, утверждают исследователи из ASEC .
Amadey Bot используется для кражи информации и установки дополнительных вредоносных программ, а SmokeLoader предоставляет злоумышленникам дополнительные возможности, связанные с кражей информации и установкой вредоносных плагинов. По словам специалистов, операторы Amadey упаковывают вредоноса в SmokeLoader и прячут “подарок” в пиратском ПО и программах, генерирующих ключи.
Цепочка заражения выглядит так:
Запускается SmokeLoader, внедряющий Amadey в процесс проводника (explorer.exe);
Amadey копирует себя в папку Temp и назначает папку, в которой она существует, как папку запуска. Это позволяет вредоносу запускаться после перезагрузки устройства;
Amadey подключается к C&C-серверу злоумышленников, позволяя хакерам узнать информацию о компьютере (имя пользователя, версия ОС, сведения об установленных антивирусных программах);
Обработав полученную информацию, C&C-сервер дает команду вредоносному ПО, чтобы оно загрузило дополнительные плагины и копии других программ для кражи информации.
Чаще всего злоумышленников интересуют электронная почта, FTP-серверы, VPN-клиенты и другое ПО, содержащее информацию о жертве.
Источник: SecurityLab