Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Amadey

Amadey

Por GoldSparrow en Software malicioso
Traducir a:

La herramienta de piratería Amadey es un creador de botnets desarrollado por actores de amenazas malintencionados desconocidos y vendido en varios foros de piratería. Apareció por primera vez a principios de 2019. Esta amenaza también se puede usar como una carga útil de primera etapa que puede introducir malware adicional en el host. Inicialmente, la herramienta de hackeo de Amadey costaba $500 aproximadamente. Esta amenaza ganó algo de tracción y parece haberse vendido bien, ya que los investigadores de malware detectaron que la herramienta Amadey se usaba en muchas campañas diferentes en todo el mundo. Incluso el infame grupo de hackers TA505 se hizo con la amenaza de Amadey.

Tácticas de Distribución

Amadey es un tipo de malware que se dirige principalmente a los sistemas basados en Windows. Por lo general, ingresa a un sistema de destino a través de varios medios, que incluyen:

  1. Archivos adjuntos de correo electrónico : Amadey puede distribuirse a través de correos electrónicos no deseados que contienen archivos adjuntos maliciosos, como documentos infectados de Microsoft Office (por ejemplo, archivos de Word o Excel), archivos PDF o archivos ZIP. Una vez que el destinatario abre el archivo adjunto, se puede ejecutar el malware.
  2. Sitios web maliciosos : Amadey puede entregarse a través de sitios web comprometidos o maliciosos. Esto podría ocurrir si visita un sitio web comprometido o hace clic en un enlace malicioso que desencadena una descarga oculta, lo que resulta en la instalación de un programa malicioso en su sistema sin su conocimiento.
  3. Kits de explotación : los kits de explotación son juegos de herramientas utilizados por los ciberdelincuentes para explotar vulnerabilidades en el software. Amadey puede distribuirse de esa manera, lo que aprovecha las vulnerabilidades de software sin parches para entregar el malware en el sistema de destino.

Opera en silencio

Los operadores de Amadey pueden obtener privilegios administrativos y acceso remoto a través de su navegador web para controlar los sistemas infectados. Sin embargo, todo esto se lleva a cabo en silencio y fuera de la vista del usuario víctima. Es probable que las víctimas ni siquiera se den cuenta de que una infección de malware ha secuestrado su sistema y que ahora es parte de una botnet.

Persistencia

Una vez que el creador de botnets de Amadey se infiltra en un sistema, puede verificar si alguna de las herramientas antimalware más comunes está presente. La herramienta de pirateo de Amadey puede ganar persistencia modificando el Registro de Windows, lo que garantiza que la amenaza se lanzará cada vez que se reinicie el sistema.

Capacidades

Esta herramienta de piratería tiene una lista algo limitada de capacidades. El creador de botnets de Amadey puede recopilar información sobre el host infectado, que incluye:

  • Sistema operativo.
  • Nombre de usuario.
  • Configuración de la red.
  • Hardware.

Además de poder secuestrar una computadora y agregarla a una botnet, que se usaría para llevar a cabo ataques DDoS (Distributed-Denial-of-Service), esta amenaza también se puede emplear como una carga útil de primera etapa, que servir como una puerta trasera para que los atacantes infecten el host con malware adicional y potencialmente más amenazante.

Ninguno de nosotros puede darse el lujo de pasar por alto la seguridad cibernética en esta época. Asegúrese de descargar e instalar un paquete de software antivirus legítimo que mantendrá su sistema seguro.

Cómo evitar el robot Amadey

Para ayudar a evitar el malware Amadey y amenazas similares, considere implementar las siguientes medidas preventivas:

  1. Mantenga el software actualizado : actualice regularmente su sistema operativo, navegadores web y otras aplicaciones de software.
  2. Tenga cuidado con los archivos adjuntos de correo electrónico : si recibe un archivo adjunto inesperado, verifique su autenticidad con el remitente a través de un canal de comunicación diferente antes de abrirlo.
  3. Tenga cuidado con los intentos de phishing : evite hacer clic en enlaces en correos electrónicos o mensajes que parezcan sospechosos o provengan de fuentes no confiables.
  4. Use un software de seguridad confiable : instale productos antivirus y software antimalware confiables en su sistema y manténgalo actualizado.
  5. Copia de seguridad de datos periódica : mantenga copias de seguridad periódicas de sus archivos y datos importantes en dispositivos de almacenamiento separados o en la nube. En caso de una infección de malware u otros incidentes, contar con copias de seguridad recientes garantiza que pueda restaurar sus datos y minimizar los posibles daños.
  6. Ejerza hábitos de navegación seguros : evite visitar sitios web sospechosos o que no sean de confianza. Tenga cuidado al hacer clic en anuncios o enlaces, ya que pueden redirigirlo a sitios web maliciosos que distribuyen malware.

Reporte de análisis

Información general

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Tamaño del archivo: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Nombre Valor
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Datos API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

Artículos Relacionados

Tendencias

Estafa por correo electrónico de suspensión de...

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes suelen abusar de términos y servicios técnicos confiables para que sus estafas parezcan creíbles. La estafa del correo electrónico de suspensión de cuenta de cPanel es un claro ejemplo de esta táctica, que utiliza un lenguaje alarmante para presionar a los destinatarios a actuar con rapidez. Estos correos electrónicos son totalmente fraudulentos y no están asociados con...

Mas Visto

Cargando...