Эксперты по информационной безопасности из компании AhnLab обнаружили новую версию трояна Amadey, которая распространяется с помощью загрузчика SmokeLoader. Загрузчик в рамках данной кампании можно найти на многочисленных сайтах в комплекте с пиратским софтом.
Хотя, распространение Amadey Bot после 2020 года прекратилось, исследователи сообщают, что в обращение поступила новая версия, поддерживаемая все еще очень актуальным вредоносным ПО SmokeLoader.
SmokeLoader загружается и запускается жертвами добровольно под видом кряка ПО или же активатора. Поскольку подобные кряки и генераторы ключей часто вызывают антивирусные предупреждения, пользователи уже привыкли отключать антивирусные программы перед их запуском, что делает их идеальным методом распространения вредоносных программ.
После выполнения загрузчик внедряет «Main Bot» в запущенный процесс «explorer.exe», поэтому ОС доверяет ему и загружает Amadey в систему.
Как только Amadey загружен и запущен, он копирует себя в папку TEMP под именем «bguuwe.exe» и активирует для себя автозапуск. Затем Amadey отправляет данные о системе на сервер злоумышленника, включая версию ОС, тип архитектуры, список установленных антивирусных инструментов и т. д.