【安全资讯】Amadey Bot最新版本新增屏幕捕捉和分发Remcos RAT

Amadey是一个来自俄罗斯的僵尸软件，于2018年末首次被发现。一旦在受害者的机器上运行，Amadey将收集用户数据发送到C2服务器，并执行C2服务器发回的命令。早些时候研究人员发现了其最新版本并进行了分析，发现除了修改现有的功能外，新增了截屏以及分发Remcos RAT的功能。

在执行其主要有效负载之前，Amadey使用命令_Z8aCheckAVv查找安装在受感染机器上的任何防病毒产品。在确认受害者计算机上没有安装防病毒程序后，Amadey将自己复制到“C:\ProgramData\e734daf4d7\nvlut.exe”并建立持久性。
Main模块从预定义的应用程序列表中窃取存储的凭据和其他信息，LoadPluginPc加载“cred.DLL”和“scr.DLL”，其中cred.dll负责从系统中窃取凭证，scr.dll负责获取系统屏幕截图，最后通过POST请求将数据发送到C2服务器。
分析过程中，研究人员还发现在Amadey的控制面板新增了分发Remcos RAT的选择。