Los investigadores de ciberseguridad de AhnLab han detectado una nueva versión de una antigua variedad de malware, conocida como Amadey Bot, que se distribuye a través de cracks de software y keygens.
Muchas personas en todo el mundo preferirían descargar una versión descifrada de un software costoso (por ejemplo, Windows, Adobe Suite o similar) de un sitio de torrents y seguir con un descifrado/keygen, que comprar una versión legítima que podría costar algunos cien dolares.
Estos cracks y keygen a menudo activan alertas de falsos positivos con soluciones antivirus, lo que los convierte en una mula ideal para transportar malware, especialmente si el malware puede actuar lo suficientemente rápido, antes de que la víctima vuelva a habilitar el programa antivirus. Ese es exactamente el caso aquí, ya que AhnLab descubrió que a través de keygen y cracks, los actores de amenazas han estado distribuyendo SmokeLoader, un cuentagotas de malware codificado para infectar el punto final con Amadey Bot.
Robar información y cargar más malware
Amadey Bot es un bot de cuatro años, capaz de realizar un reconocimiento del sistema, robando información del punto final de destino. (se abre en una pestaña nueva)y soltar cargas útiles adicionales. También se dijo que, tras la ejecución, el malware inyecta «Main Bot» en el proceso explorer.exe que se está ejecutando actualmente, escondiéndose de los programas antivirus a simple vista.
Además, se copia a sí mismo en la carpeta TEMP con el nombre bguuwe.exe y configura una tarea programada, asegurándose de que permanezca en el sistema incluso después de haber sido cancelado. Además de analizar el sistema de destino y robar información, Amadey también es capaz de colocar otro malware, entre los cuales AhnLab ha encontrado: RedLine (yuri.exe).
ReadLine es un ladrón popular y muy potente que recolecta navegadores (se abre en una pestaña nueva) para contraseñas guardadas, datos de autocompletar, información de tarjetas de crédito, etc. el malware (se abre en una pestaña nueva) también ejecuta un inventario del sistema, extrayendo información como el nombre de usuario, los datos de ubicación, la configuración del hardware y la información sobre el software de seguridad instalado en el dispositivo. Las versiones más nuevas incluso pueden robar la billetera de criptomonedas (se abre en una pestaña nueva) información, así como clientes FTP y IM de destino. Puede cargar y descargar archivos, ejecutar comandos y comunicarse con su servidor C2.
La moraleja de la historia es simple: descargar software pirateado simplemente no vale la pena, especialmente hoy en día cuando las alternativas gratuitas basadas en la nube están en todas partes.
- Mantén tus dispositivos seguros con el mejor antivirus (se abre en una pestaña nueva) soluciones alrededor
Vía: BleepingComputer (se abre en una pestaña nueva)