El bot Amadey está siendo utilizado para desplegar el ransomware LockBit 3.0 en sistemas comprometidos, advierten algunos investigadores.
Este bot se está distribuyendo a través de dos métodos distintos:
- Archivo de Word malicioso
- Utilizando un ejecutable con el icono de Word
Fue descubierto por primera vez en 2018, y se trata de una botnet C2C (criminal to criminal). Amadey bot se puede obtener por tan solo 600$ en alguno de los foros underground de la dark web. Su función principal es recoger información sensible de los hosts infectados, aunque también sirve de canal para descargar las siguientes fases del ataque.
A principios de julio, se propagó utilizando SmokeLoader, un malware con características no muy diferentes a las suyas. Sin ir más lejos, el mes pasado ASEC encontró que el malware estaba siendo distribuido y camuflado bajo la ‘supuesta’ app KakaoTalk. Se trata de una app de mensajería popular de Korea del Sur y estaba siendo utilizada para lanzar una campaña de phishing.
El último análisis de este malware comenta que se basa en un archivo de Microsoft Word («심시아.docx«) que se subió a VirusTotal el 28 de octubre de 2022. El documento contiene una macro VBA maliciosa que, al ser activada por la víctima, ejecuta un comando PowerShell para descargar y ejecutar Amadey.
En una cadena de ataque alternativa, Amadey se disfraza como un archivo aparentemente inofensivo con un icono de Word, pero en realidad es un ejecutable («Resume.exe») que se propaga a través de un mensaje de phishing.
Al tener éxito en la ejecución de Amadey, el malware obtiene y lanza comandos adicionales desde un servidor remoto, que incluye el ransomware LockBit en formato PowerShell (.ps1) o binario (.exe).
Desde Hispasec recomendamos a los usuarios que tengan cuidado ya que el ransomware LockBit se está distribuyendo a través de varios métodos. Los usuarios deben actualizar las aplicaciones y Visual Basic a la última versión disponible y abstenerse de abrir archivos de documentos de fuentes desconocidas.
Más información:
Amadey Bot Spotted Deploying LockBit 3.0 Ransomware on Hacked Machines https://thehackernews.com/2022/11/amadey-bot-spotted-deploying-lockbit-30.html
