El malware Amadey se está utilizando para implementar el ransomware LockBit 3.0 en sistemas comprometidos, advirtieron los investigadores.
«El bot Amadey, el malware que se usa para instalar LockBit, se distribuye a través de dos métodos: uno que usa un archivo de documento de Word malicioso y el otro que usa un ejecutable que se disfraza del ícono del archivo de Word», AhnLab Security Emergency Response Center (UN SEGUNDO) dijo en un nuevo informe publicado hoy.
Amadey, descubierto por primera vez en 2018, es un «proyecto de robo de información de botnet de criminal a criminal (C2C)», como descrito por el equipo de investigación e inteligencia de BlackBerry, y se ofrece para su compra en la clandestinidad criminal por hasta $600.
Si bien su función principal es recolectar información confidencial de los hosts infectados, se duplica como un canal para entregar artefactos de la siguiente etapa. A principios de julio, se propagó usando SmokeLoader, un malware con características no tan diferentes como él mismo.
El mes pasado, ASEC también fundar el malware distribuido bajo el disfraz de KakaoTalk, un servicio de mensajería instantánea popular en Corea del Sur, como parte de una campaña de phishing.
El último análisis de la firma de ciberseguridad se basa en un archivo de Microsoft Word («심시아.docx«) que se cargó en VirusTotal el 28 de octubre de 2022. El documento contiene una macro VBA maliciosa que, cuando la víctima la habilita, ejecuta un comando de PowerShell para descargar y ejecutar Amadey.
En una cadena de ataque alternativa, Amadey se disfraza como un archivo aparentemente inofensivo con un ícono de Word, pero en realidad es un ejecutable («Resume.exe») que se propaga a través de un mensaje de phishing. ASEC dijo que no pudo identificar el correo electrónico utilizado como señuelo.
Al tener éxito en la ejecución de Amadey, el malware obtiene y ejecuta comandos adicionales desde un servidor remoto, que incluye el ransomware LockBit en formato PowerShell (.ps1) o binario (.exe).
BloqueoBit 3.0también conocido como BloqueoBit Negrolanzado en junio de 2022, junto con un nuevo portal web oscuro y el primer programa de recompensas por errores por una operación de ransomware, prometiendo recompensas de hasta $ 1 millón por encontrar errores en su sitio web y software.
«Como el ransomware LockBit se distribuye a través de varios métodos, se recomienda precaución al usuario», concluyeron los investigadores.