Les chercheurs en cybersécurité d’AhnLab ont détecté une nouvelle version d’une ancienne souche de logiciels malveillants, connue sous le nom d’Amadey Bot, distribuée via des cracks logiciels et des keygens.
De nombreuses personnes dans le monde préfèrent télécharger une version crackée d’un logiciel coûteux (par exemple Windows, la suite Adobe ou similaire) à partir d’un site torrent, et suivre avec un crack/keygen, plutôt que d’acheter une version légitime qui pourrait coûter quelques-uns. cent dollars.
Ces fissures et keygens déclenchent souvent de fausses alertes positives avec les solutions antivirus, ce qui en fait une mule idéale pour transporter des logiciels malveillants, surtout si le logiciel malveillant peut agir assez rapidement, avant que la victime ne réactive le programme antivirus. C’est exactement le cas ici, car AhnLab a repéré qu’à travers des keygens et des cracks, les acteurs de la menace ont distribué SmokeLoader, un compte-gouttes de logiciels malveillants codé pour infecter le terminal avec Amadey Bot.
Voler des informations et charger plus de logiciels malveillants
Amadey Bot est un bot de quatre ans, capable d’effectuer une reconnaissance du système, en volant des informations au terminal cible (s’ouvre dans un nouvel onglet), et la suppression de charges utiles supplémentaires. Il a également été dit que lors de l’exécution, le logiciel malveillant injecte “Main Bot” dans le processus explorer.exe en cours d’exécution, se cachant des programmes antivirus à la vue de tous.
De plus, il se copie dans le dossier TEMP avec le nom bguuwe.exe et configure une tâche planifiée, en s’assurant qu’elle reste sur le système même après avoir été terminée. En plus d’analyser le système cible et de voler des informations, Amadey est également capable de déposer d’autres logiciels malveillants, parmi lesquels AhnLab a trouvé – RedLine (yuri.exe).
ReadLine est un voleur populaire et très puissant qui récolte les navigateurs (s’ouvre dans un nouvel onglet) pour les mots de passe enregistrés, les données de saisie semi-automatique, les informations de carte de crédit, etc. Le malware (s’ouvre dans un nouvel onglet) exécute également un inventaire du système, en extrayant des informations telles que le nom d’utilisateur, les données de localisation, la configuration matérielle et les informations sur les logiciels de sécurité installés sur l’appareil. Les versions plus récentes sont même capables de voler un portefeuille de crypto-monnaie (s’ouvre dans un nouvel onglet) informations, ainsi que les clients FTP et IM cibles. Il peut charger et télécharger des fichiers, exécuter des commandes et communiquer avec son serveur C2.
La morale de l’histoire est simple – le téléchargement de logiciels piratés n’en vaut tout simplement pas la peine, surtout aujourd’hui où les alternatives gratuites basées sur le cloud sont partout.
- Protégez vos appareils avec le meilleur antivirus (s’ouvre dans un nouvel onglet) des solutions autour
Passant par: BipOrdinateur (s’ouvre dans un nouvel onglet)