Detección de SmokeLoader: Distribuye Malware Amadey Bot a través de Cracks de Software
Amadey Bot, una conocida cepa de malware que apareció por primera vez en el ámbito de las ciberamenazas en 2018, es capaz de robar datos y desplegar otras cargas maliciosas en el sistema comprometido. Ha sido distribuido activamente a través de foros de hackers para participar en operaciones ofensivas. Los investigadores en ciberseguridad han observado recientemente la distribución de una nueva versión del malware Amadey Bot a través de SmokeLoader campañas maliciosas que aprovechan cracks de software y utilidades de generación de claves desde sitios web como señuelos.
Detectar SmokeLoader implementando Amadey Bot en las campañas más recientes
Con un número cada vez mayor de volúmenes de ataque y vectores de amenazas en rápida evolución, los practicantes de ciberseguridad buscan nuevas formas de fortalecer proactivamente las defensas de su organización. La plataforma Detection as Code de SOC Prime selecciona un conjunto de reglas Sigma para ayudar a las organizaciones globales a defenderse eficazmente contra una nueva versión de Amadey Bot instalada a través de SmokeLoader en las últimas campañas adversarias.
Todas las reglas Sigma dedicadas son convertibles a las soluciones líderes de la industria en SIEM, EDR y XDR y están alineadas con el marco MITRE ATT&CK® para garantizar una visibilidad completa de las amenazas relacionadas. Siga los enlaces a continuación para obtener estas detecciones seleccionadas elaboradas por nuestros prolíficos contribuyentes de contenido y participantes activos del Programa Threat Bounty, Aykut Gurses, Nattatorn Chuensangarun, y Aytek Aytemur:
Actividad de persistencia sospechosa del malware SmokeLoader (a través de cmdline)
Esta consulta de caza de amenazas desarrollada por Aykut Gurses detecta un ataque persistente como resultado de la ejecución del usuario de los malwares SmokoLoader y Amadey Bot a través de cracks de software o sitios web de keygen. La regla de detección aborda las tácticas de evasión de defensa y ejecución de ATT&CK junto con sus técnicas correspondientes, incluyendo Modificar Registro (T1112), Tarea/Trabajo Programado (T1053) y Ejecución de Usuario (T1204).
La consulta de caza de amenazas mencionada anteriormente creada por Nattatorn Chuensangarun detecta la actividad maliciosa de la persistencia de SmokeLoader copiándose a sí mismo en la ruta Temp mediante una modificación de clave de registro. Esta regla Sigma aborda la táctica de evasión de defensa del adversario con la modificación del registro (T1112) utilizada como su técnica principal.
Esta regla Sigma de Aytek Aytemur detecta la actividad sospechosa de schtasks.exe implementada por el malware Amadey Bot instalado por SmokeLoader. La detección aborda la técnica de Tarea/Trabajo Programado (T1053) de ATT&CK de la táctica de ejecución.
Los expertos de la industria y los aspirantes a contribuyentes de contenido de detección pueden perfeccionar sus habilidades en Ingeniería de Detección y Caza de Amenazas uniéndose al Programa Threat Bounty respaldado por la iniciativa de crowdsourcing de SOC Prime. Autoría contenido de detección, compártalo con colegas de la industria y obtenga recompensas económicas por sus contribuciones con una brillante oportunidad de auto-avance.
Para acceder a la lista completa de reglas Sigma para la detección del malware SmokeLoader, haga clic en el botón Detectar y Cazar a continuación. Los usuarios no registrados de SOC Prime también pueden sumergirse instantáneamente en el contexto completo de amenazas relacionadas con las últimas campañas de SmokeLoader descargando Amadey Bot utilizando el motor de búsqueda de ciberamenazas de SOC Prime. Haga clic en el botón Explorar Contexto de Amenaza y acceda a metadatos contextuales profundos, incluyendo referencias MITRE ATT&CK y CTI, enlaces de medios y más información acompañada de las últimas reglas Sigma de la plataforma de SOC Prime.
Detectar y Cazar Explorar Contexto de Amenaza
Desde su aparición en 2018, Amadey Bot fue utilizado frecuentemente por adversarios para proceder con actividades de reconocimiento, robar datos sensibles de los hosts infectados y entregar cargas maliciosas adicionales. Mientras que la distribución del malware disminuyó entre 2020-2021, Amadey Bot resurgió en 2022 con una funcionalidad mejorada, cambiando de los kits de explotación Fallout y Rig a SmokeLoader como principal método de entrega.
Según la investigación de AhnLab, SmokeLoader generalmente es ejecutado por víctimas desprevenidas como parte de cracks de software o keygens. Así, el malware supera exitosamente las alertas de antivirus ya que los usuarios tienden a desactivar las protecciones durante la instalación del crack de software. Además, SmokeLoader inyecta la carga maliciosa en el proceso explorer.exe y deja caer Amadey en el sistema comprometido.
Notablemente, la última versión 3.21 de Amadey Bot es capaz de identificar alrededor de 14 productos antivirus y evadir la detección mientras gana persistencia en el host. Después de recopilar información del sistema, Amadey deja caer malware adicional, incluyendo varios infostealers, como RedLine. Las cargas maliciosas son obtenidas y ejecutadas con omisión de UAC y escalamiento de privilegios. Además, PowerShell es utilizado para excluir Windows Defender y asegurar una instalación encubierta.
Para prevenir la infección de Amadey Bot y SmokeLoader, se insta a los usuarios a evitar el uso de cracks de software y generadores de claves ilegítimos. Además, los practicantes de seguridad pueden aumentar sus capacidades de detección de amenazas y la velocidad de caza de amenazas registrándose en la plataforma Detection as Code de SOC Prime. La plataforma agrega más de 200,000 algoritmos de detección para las amenazas existentes y emergentes entregadas dentro de un plazo de 24 horas y permite estar un paso adelante de los atacantes. Los cazadores de amenazas experimentados y analistas de seguridad son bienvenidos a unirse a nuestro Programa Threat Bounty para enviar sus reglas Sigma y obtener pagos recurrentes mientras contribuyen a la defensa cibernética colaborativa.
