SmokeLoader恶意软件助推Amadey Bot变种传播

重点总结

• SmokeLoader 被用作传播Amadey Bot 变种的媒介，主要借由破解软件和注册码生成器网站。
• 执行该类软件时，会在运行的explorer.exe进程中注入“主机器人”并下载恶意软件。
• Amadey会将自身复制到TEMP文件夹，并设置计划任务以保持持久性。
• 此恶意软件与指挥与控制服务器通信，发送系统配置文件。
• 在该恶意软件的最新版本中，已能够检测到14个防病毒产品，同时下载信息窃取插件。

根据的报告，威胁行为者 正在利用SmokeLoader
隐匿在破解软件和注册码生成器网站中，以此传播新型的AmadeyBot恶意软件变种。执行带有SmokeLoader的破解软件或注册码生成器时，将在正在运行的explorer.exe进程中注入“主机器人”，并下载Amadey恶意软件。根据AhnLab的报告，该恶意软件在检索和执行后，将自身复制到一个名为bguuwe.exe的TEMP文件夹中。

Amadey在完成自我复制后，为了保持持久性，会在系统中建立一个计划任务。此后，它开始与指挥与控制服务器（C2）通信，并向其发送系统配置文件。最新的报告显示，Amadey的最新版本已经能够检测到14种防病毒产品的存在。

此外，Amadey还会从C2服务器下载附加插件和信息窃取工具，包括RedLine，使用UAC绕过和权限提升功能进行安装。研究人员还发现，其中一个DLL插件能够从MikroTik路由器管理程序Winbox、FileZilla、Outlook、Pidgin、RealVNC、TightVNC、TigerVNC、TotalCommander FTP客户端以及WinSCP中启用信息盗取。

漏洞与影响 | 描述
—|—
恶意软件传播途径 | 破解软件与注册码生成器
系统影响 | 自我复制、计划任务
信息窃取对象 | 多种管理工具与客户端

注意：为了保护您的设备和数据安全，建议避免下载和使用来源不明的软件。