• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / News / Malware Amadey didorong melalui celah perangkat lunak dalam kampanye SmokeLoader

Malware Amadey didorong melalui celah perangkat lunak dalam kampanye SmokeLoader

July 25, 2022 by Eevee

Versi baru malware Amadey Bot didistribusikan melalui malware SmokeLoader, menggunakan celah perangkat lunak dan situs keygen sebagai umpan.

Amadey Bot adalah jenis malware yang ditemukan empat tahun lalu, mampu melakukan pengintaian sistem, mencuri informasi, dan memuat muatan tambahan.

Sementara distribusinya telah memudar setelah tahun 2020, peneliti Korea di AhnLab melaporkan bahwa versi baru telah memasuki sirkulasi dan didukung oleh malware SmokeLoader yang sama tua tetapi masih sangat aktif.

Ini adalah penyimpangan dari ketergantungan Amadey pada Fallout, dan kit exploit Rig, yang umumnya tidak populer karena menargetkan kerentanan yang sudah ketinggalan zaman.

SmokeLoader diunduh dan dieksekusi secara sukarela oleh para korban, menyamar sebagai crack perangkat lunak atau keygen. Karena crack dan key generator biasanya memicu peringatan antivirus, biasanya pengguna menonaktifkan program antivirus sebelum menjalankan program, menjadikannya metode yang ideal untuk mendistribusikan malware.

Setelah dieksekusi, ia menyuntikkan “Bot Utama” ke dalam proses (explorer.exe) yang sedang berjalan, sehingga OS mempercayainya dan mengunduh Amadey di sistem.

Setelah Amadey diambil dan dieksekusi, ia menyalin dirinya sendiri ke folder TEMP dengan nama ‘bguuwe.exe’ dan membuat tugas terjadwal untuk mempertahankan kegigihan menggunakan perintah cmd.exe.

Detail instalasi Amadey (ASEC)

Selanjutnya, Amadey membuat komunikasi C2 dan mengirimkan profil sistem ke server pelaku ancaman, termasuk versi OS, tipe arsitektur, daftar alat antivirus yang diinstal, dll.

Dalam versi terbarunya, nomor 3.21, Amadey dapat menemukan 14 produk antivirus dan, mungkin berdasarkan hasil, mengambil muatan yang dapat menghindari yang sedang digunakan.

Server merespons dengan instruksi untuk mengunduh plugin tambahan dalam bentuk DLL, serta salinan pencuri info tambahan, terutama RedLine (‘yuri.exe’).

Payload diambil dan diinstal dengan melewati UAC dan eskalasi hak istimewa. Amadey menggunakan program bernama ‘FXSUNATD.exe’ untuk tujuan ini dan melakukan elevasi ke admin melalui pembajakan DLL.

Selain itu, pengecualian yang sesuai pada Windows Defender ditambahkan menggunakan PowerShell sebelum mengunduh muatan.

Pengecualian PowerShell dan auto-elevate (ASEC)

Selain itu, Amadey menangkap tangkapan layar secara berkala dan menyimpannya di jalur TEMP untuk dikirim ke C2 dengan permintaan POST berikutnya.

POST permintaan tangkapan layar eksfiltrasi (ASEC)

Salah satu plugin DLL yang diunduh, ‘cred.dll,’ yang dijalankan melalui ‘rundll32.exe,’ mencoba mencuri informasi dari perangkat lunak berikut:

Program Manajemen Router Mikrotik Winbox
Pandangan
FileZilla
Pijin
Total Commander FTP Client
RealVNC, TightVNC, TigerVNC
WinSCP

Tentu saja, jika RedLine dimuat ke host, cakupan penargetan diperluas secara dramatis, dan korban berisiko kehilangan kredensial akun, komunikasi, file, dan aset cryptocurrency.

Untuk menghindari bahaya Amadey Bot dan RedLine, hindari mengunduh file yang retak, aktivator produk perangkat lunak, atau pembuat kunci tidak sah yang menjanjikan akses gratis ke produk premium.

Sumber: Bleeping Computer

Tagged With: Amadey Bot, DLL, Malware, Smokeloader

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo