Die Amadey-Malware wird verwendet, um die LockBit 3.0 Ransomware auf kompromittierten Systemen zu installieren, warnen Forscher.
„Amadey Bot, die Malware, die zur Installation von LockBit verwendet wird, wird über zwei Methoden verbreitet: zum einen über eine bösartige Word-Dokumentendatei und zum anderen über eine ausführbare Datei, die als Word-Dateisymbol getarnt ist“, so das AhnLab Security Emergency Response Center (ASEC) in einem heute veröffentlichten Bericht.
Amadey, das erstmals 2018 entdeckt wurde, ist ein „kriminell-kriminelles (C2C) Botnetz-Infostealer-Projekt“, wie es das BlackBerry Research and Intelligence Team beschreibt, und wird im kriminellen Untergrund für bis zu 600 US-Dollar zum Kauf angeboten.
Während seine Hauptfunktion darin besteht, sensible Informationen von den infizierten Rechnern abzugreifen, dient es auch als Kanal für die Weitergabe von Artefakten. Anfang Juli dieses Jahres wurde sie über SmokeLoader verbreitet, eine Malware mit nicht ganz so unterschiedlichen Funktionen wie sie selbst.
Erst letzten Monat entdeckte ASEC, dass die Malware als Teil einer Phishing-Kampagne unter dem Deckmantel von KakaoTalk, einem in Südkorea beliebten Instant-Messaging-Dienst, verbreitet wurde.
Die neueste Analyse des Cybersecurity-Unternehmens basiert auf einer Microsoft Word-Datei („심시아.docx“), die am 28. Oktober 2022 bei VirusTotal hochgeladen wurde. Das Dokument enthält ein bösartiges VBA-Makro, das, wenn es vom Opfer aktiviert wird, einen PowerShell-Befehl ausführt, um Amadey herunterzuladen und auszuführen.
Bei einer anderen Angriffskette wird Amadey als scheinbar harmlose Datei mit einem Word-Symbol getarnt, ist aber in Wirklichkeit eine ausführbare Datei („Resume.exe“), die über eine Phishing-Nachricht verbreitet wird. ASEC sagte, dass es nicht in der Lage war, die als Köder verwendete E-Mail zu identifizieren.
Wenn Amadey erfolgreich ausgeführt wird, holt sich die Malware weitere Befehle von einem entfernten Server, die die LockBit Ransomware entweder im PowerShell- (.ps1) oder im Binärformat (.exe) enthalten, und startet diese.
LockBit 3.0, auch bekannt als LockBit Black, wurde im Juni 2022 zusammen mit einem neuen Dark-Web-Portal und dem allerersten Bug-Bounty-Programm für eine Ransomware-Operation auf den Markt gebracht, das Belohnungen von bis zu 1 Million US-Dollar für das Auffinden von Fehlern in seiner Website und Software verspricht.
„Da die LockBit Ransomware über verschiedene Methoden verbreitet wird, ist Vorsicht geboten“, so die Forscher abschließend.