【安全资讯】Amadey Bot通过SmokeLoader分发

Amadey Bot是于2018年首次被发现的恶意软件，能够通过接收攻击者的命令窃取信息并安装其他恶意软件。Amadey 主要被GandCrab的攻击者用来安装勒索软件，或者被TA505组织用来安装 FlawedAmmyy。近日，研究人员发现，新版本的Amadey恶意软件正在通过SmokeLoader传播。

SmokeLoader 运行时，会将 Main Bot 注入当前正在运行的资源管理器进程 (explorer.exe)，注入explorer，下载Amadey。获取并执行 Amadey 后，它会将自身复制到名为“bguuwe.exe”的 TEMP 文件夹中，并使用 cmd.exe 命令创建计划任务以保持持久性。随后，Amadey 建立 C2 通信并向攻击者的服务器发送系统配置文件，包括操作系统版本、架构类型、已安装的防病毒工具列表等。最新的 Amadey C&C 面板登录页面如下：