Согласно новому отчету AhnLab, в ходе последних вредоносных кампаний начал распространяться двумя способами:
С помощью вредоносного Word-документа с VBA-макросом, который срабатывает после того, как жертва откроет его. Этот макрос запускает PowerShell-команду для загрузки и запуска Amadey.
С помощью исполняемого файла (“Resume.exe”), который маскируется под документ Word и распространяется через фишинговые сообщения.
Впервые Amadey был обнаружен в 2018 году. Специалисты описывают его как ботнет-проект по сбору личной информации жертв, который продается в даркнете по цене до $600. И хотя его основная функция – сбор конфиденциальной информации с зараженных узлов, он также используется в качестве дроппера для других вредоносов.
А последний отчет AhnLab основан на Word-файле под названием ” 심시아.docx “, который был загружен на VirusTotal 28 октября 2022 года. По словам специалистов, Amadey сразу после запуска получает и запускает дополнительные команды, которые развертывают вымогательское ПО LockBit в одном из двух форматов: PowerShell (.ps1) или (.exe).
Напомним, в этом году мы сообщали про другую вредоносную кампанию , в ходе которой кряки использовались для распространения Amadey через SmokeLoader.