Un logiciel malveillant voleur d’informations appelé Amadey est distribué au moyen d’une autre porte dérobée appelée SmokeLoader. Les attaques consistent à inciter les utilisateurs à télécharger SmokeLoader qui se fait passer pour des cracks logiciels, ouvrant la voie au déploiement d’Amadey, ont déclaré des chercheurs du AhnLab Security Emergency Response Center (ASEC) dans un rapport publié la semaine dernière. Amadey, un botnet qui est apparu pour la première fois vers octobre 2018 sur des forums clandestins russes pour 600 $, est équipé pour siphonner les informations d’identification, capturer des captures d’écran, des métadonnées système et même des informations sur les moteurs antivirus et les logiciels malveillants supplémentaires installés sur une machine infectée.
Alors qu’une mise à jour a été repérée en juillet dernier par Walmart Global Tech incorporant une fonctionnalité de collecte de données à partir des routeurs Mikrotik et de Microsoft Outlook, l’ensemble d’outils a depuis été mis à niveau pour capturer les informations de FileZilla, Pidgin, Total Commander FTP Client, RealVNC, TightVNC, TigerVNC et WinSCP. . Son objectif principal, cependant, est de déployer des plugins supplémentaires et des chevaux de Troie d’accès à distance tels que Remcos RAT et RedLine Stealer, permettant en outre à l’acteur de la menace de mener un éventail d’activités post-exploitation. Il est recommandé aux utilisateurs de mettre à niveau leurs appareils vers les dernières versions du système d’exploitation et du navigateur Web afin de minimiser les voies d’infection potentielles et d’éviter les logiciels piratés.