Hackernews 编译,转载请注明出处:
研究人员警告称,Amadey恶意软件被用于在受损系统上部署LockBit 3.0勒索软件。
AhnLab安全应急响应中心(ASEC)在今天发布的一份新报告中表示:“用于安装LockBit的恶意软件Amadey bot正通过两种方法进行分发:一种是使用恶意Word文档文件,另一种是利用伪装成Word文件图标的可执行文件。”
Amadey于2018年首次被发现,是一个“罪犯对罪犯(C2C)僵尸网络信息窃取者项目”,正如黑莓研究和情报团队所描述的那样,在地下罪犯网站上可以购买,价格高达600美元。
虽然它的主要功能是从受感染的主机收集敏感信息,但它还兼作传递下一阶段工件的通道。今年7月初,它是使用SmokeLoader传播的,这是一种有与自身功能没有太大区别的恶意软件。
就在上个月,ASEC还发现了伪装成韩国流行的即时通讯服务KakaoTalk的恶意软件,作为网络钓鱼活动的一部分。
这家网络安全公司的最新分析基于2022年10月28日上传到VirusTotal的微软Word文件(“심시아.docx”)。该文档包含一个恶意VBA宏,当受害者启用该宏时,它会运行PowerShell命令以下载并运行Amadey。
在另一种攻击链中,Amadey伪装成一个看似无害的文件,上面带有Word图标,但实际上是一个通过网络钓鱼消息传播的可执行文件(“Resume.exe”)。ASEC表示,它无法识别被用作诱饵的电子邮件。
成功执行Amadey后,恶意软件从远程服务器获取并启动其他命令,其中包括PowerShell(.ps1)或二进制(.exe)格式的LockBit勒索软件。
LockBit 3.0,也称为LockBit Black,于2022年6月推出,同时推出了一个新的暗网门户和第一个勒索软件操作漏洞赏金计划,承诺在其网站和软件中发现漏洞可获得高达100万美元的奖励。
研究人员总结道:“由于LockBit勒索软件正在通过各种方法分发,因此建议用户谨慎使用。”
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文