Un logiciel malveillant voleur d’informations appelé Amadey est distribué au moyen d’une autre porte dérobée appelée SmokeLoader.
Les attaques consistent à inciter les utilisateurs à télécharger SmokeLoader qui se fait passer pour des fissures logicielles, ouvrant la voie au déploiement d’Amadey, des chercheurs du AhnLab Security Emergency Response Center (ASEC) a dit dans un rapport publié la semaine dernière.
Amadeyun botnet qui première apparition vers octobre 2018 sur les forums clandestins russes pour 600 $, est équipé pour siphonner les informations d’identification, capturer des captures d’écran, des métadonnées système et même des informations sur les moteurs antivirus et les logiciels malveillants supplémentaires installés sur une machine infectée.
Alors qu’une mise à jour a été repérée en juillet dernier par Walmart Global Tech incorporé fonctionnalité de collecte de données à partir des routeurs Mikrotik et de Microsoft Outlook, l’ensemble d’outils a depuis été mis à niveau pour capturer les informations de FileZilla, Pidgin, Total Commander FTP Client, RealVNC, TightVNC, TigerVNC et WinSCP.
Son objectif principal, cependant, est de déployer des plugins supplémentaires et des chevaux de Troie d’accès à distance tels que Remcos RAT et RedLine Stealer, permettant en outre à l’auteur de la menace de mener une série d’activités post-exploitation.
Il est recommandé aux utilisateurs de mettre à niveau leurs appareils vers les dernières versions du système d’exploitation et du navigateur Web afin de minimiser les voies d’infection potentielles et d’éviter les logiciels piratés.