Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Amadey

Amadey

Von GoldSparrow in Malware
Übersetzen Sie in:

Das Hacking-Tool Amadey ist ein Botnet-Builder, der von unbekannten böswilligen Bedrohungsakteuren entwickelt und in verschiedenen Hacking-Foren verkauft wird. Sie trat erstmals Anfang 2019 auf. Diese Bedrohung kann auch als Nutzlast der ersten Stufe verwendet werden, die dem Host zusätzliche Malware einschleusen kann. Ursprünglich kostete das Hacking-Tool Amadey etwa 500 US-Dollar. Diese Bedrohung gewann an Bedeutung und scheint sich gut verkauft zu haben, da Malware-Forscher entdeckt haben, dass das Amadey-Tool in vielen verschiedenen Kampagnen weltweit eingesetzt wird. Sogar die berüchtigte Hackergruppe TA505 hat die Amadey-Bedrohung in die Hände bekommen.

Vertriebstaktiken

Amadey ist eine Art Malware, die hauptsächlich auf Windows-basierte Systeme abzielt. Normalerweise gelangt es auf verschiedene Weise in ein Zielsystem, darunter:

  1. E-Mail-Anhänge : Amadey kann über Spam-E-Mails verbreitet werden, die bösartige Anhänge enthalten, beispielsweise infizierte Microsoft Office-Dokumente (z. B. Word- oder Excel-Dateien), PDF-Dateien oder ZIP-Archive. Sobald der Empfänger den Anhang öffnet, kann die Schadsoftware ausgeführt werden.
  2. Schädliche Websites : Amadey kann über manipulierte oder bösartige Websites übertragen werden. Dies kann passieren, wenn Sie eine manipulierte Website besuchen oder auf einen schädlichen Link klicken, der einen Drive-by-Download auslöst, was dazu führt, dass ohne Ihr Wissen ein Schadprogramm auf Ihrem System installiert wird.
  3. Exploit-Kits : Exploit-Kits sind Toolkits, mit denen Cyberkriminelle Schwachstellen in Software ausnutzen. Amadey kann auf diese Weise verbreitet werden, wobei ungepatchte Software-Schwachstellen ausgenutzt werden, um die Malware auf das Zielsystem zu übertragen.

Funktioniert lautlos

Amadey-Betreiber können über ihren Webbrowser Administratorrechte und Fernzugriff erhalten, um die infizierten Systeme zu steuern. All dies geschieht jedoch im Stillen und außerhalb der Sichtweite des Opferbenutzers. Es ist wahrscheinlich, dass die Opfer nicht einmal bemerken, dass eine Malware-Infektion ihr System gekapert hat und dass es nun Teil eines Botnetzes ist.

Beharrlichkeit

Sobald der Amadey-Botnet-Builder ein System infiltriert, kann er prüfen, ob eines der gängigsten Anti-Malware-Tools vorhanden ist. Das Amadey-Hacker-Tool kann durch die Änderung der Windows-Registrierung Persistenz erlangen und so sicherstellen, dass die Bedrohung bei jedem Neustart des Systems gestartet wird.

Fähigkeiten

Dieses Hacking-Tool verfügt über eine etwas begrenzte Liste von Funktionen. Der Amadey-Botnet-Builder kann Informationen über den infizierten Host sammeln, darunter:

  • Betriebssystem.
  • Nutzername.
  • Netzwerkkonfiguration.
  • Hardware.

Abgesehen davon, dass es möglich ist, einen Computer zu kapern und ihn einem Botnetz hinzuzufügen, das potenziell zur Durchführung von DDoS-Angriffen (Distributed-Denial-of-Service) verwendet werden könnte, kann diese Bedrohung auch als Nutzlast der ersten Stufe eingesetzt werden dienen den Angreifern als Hintertür, um den Host mit zusätzlicher und möglicherweise bedrohlicherer Malware zu infizieren.

Keiner von uns kann es sich heutzutage leisten, die Cybersicherheit außer Acht zu lassen. Stellen Sie sicher, dass Sie eine legitime Antivirensoftware-Suite herunterladen und installieren, die Ihr System schützt.

So vermeiden Sie den Amadey-Bot

Um die Amadey-Malware und ähnliche Bedrohungen zu vermeiden, sollten Sie die folgenden vorbeugenden Maßnahmen in Betracht ziehen:

  1. Halten Sie die Software auf dem neuesten Stand : Aktualisieren Sie regelmäßig Ihr Betriebssystem, Ihre Webbrowser und andere Softwareanwendungen.
  2. Seien Sie vorsichtig bei E-Mail-Anhängen : Wenn Sie einen unerwarteten Anhang erhalten, überprüfen Sie dessen Echtheit beim Absender über einen anderen Kommunikationskanal, bevor Sie ihn öffnen.
  3. Seien Sie vorsichtig bei Phishing-Versuchen : Klicken Sie nicht auf Links in E-Mails oder Nachrichten, die verdächtig erscheinen oder aus nicht vertrauenswürdigen Quellen stammen.
  4. Verwenden Sie zuverlässige Sicherheitssoftware : Installieren Sie seriöse Antivirenprodukte und Anti-Malware-Software auf Ihrem System und halten Sie es auf dem neuesten Stand.
  5. Regelmäßige Datensicherung : Erstellen Sie regelmäßige Sicherungen Ihrer wichtigen Dateien und Daten auf separaten Speichergeräten oder in der Cloud. Im Falle einer Malware-Infektion oder anderer Vorfälle stellen aktuelle Backups sicher, dass Sie Ihre Daten wiederherstellen und potenzielle Schäden minimieren können.
  6. Achten Sie auf sichere Surfgewohnheiten : Vermeiden Sie den Besuch verdächtiger oder nicht vertrauenswürdiger Websites. Seien Sie vorsichtig, wenn Sie auf Werbung oder Links klicken, da diese Sie möglicherweise auf bösartige Websites weiterleiten, die Malware verbreiten.

Analysebericht

Allgemeine Information

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Dateigröße: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Name Wert
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Daten API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

Verbundener Beitrag

Im Trend

Am häufigsten gesehen

Wird geladen...