Detecção SmokeLoader: Distribui Malware Amadey Bot Através de Crack de Software
Amadey Bot, uma notória cepa de malware que surgiu pela primeira vez no cenário de ameaças cibernéticas em 2018, é capaz de roubar dados e implantar outras cargas maliciosas no sistema comprometido. Tem sido ativamente distribuído em fóruns de hackers para engajar em operações ofensivas. Pesquisadores de cibersegurança observaram recentemente a distribuição de uma nova versão do malware Amadey Bot via SmokeLoader campanhas maliciosas aproveitando cracks de software e utilitários de geração de chave de sites como iscas.
Detectar SmokeLoader Desplegando AmadeyBot Nas Campanhas Mais Recentes
Com um número cada vez maior de volumes de ataques e vetores de ameaças em rápida evolução, os praticantes de cibersegurança estão procurando novas maneiras de fortalecer proativamente as defesas de suas organizações. A plataforma Detection as Code da SOC Prime seleciona um conjunto de regras Sigma para ajudar as organizações globais a se defenderem efetivamente contra uma nova versão do Amadey Bot instalada por meio do Smoke Loader nas mais recentes campanhas adversárias.
Todas as regras Sigma dedicadas são conversíveis para as soluções líderes do setor em SIEM, EDR e XDR e alinhadas com o MITRE ATT&CK® framework para garantir visibilidade abrangente das ameaças relacionadas. Siga os links abaixo para obter essas detecções selecionadas criadas por nossos prolíficos contribuintes de conteúdo e participantes ativos do Threat Bounty Program, Aykut Gurses, Nattatorn Chuensangarun, e Aytek Aytemur:
Atividade de Persistência Suspeita do Malware SmokeLoader (via cmdline)
Esta consulta de caça à ameaças desenvolvida por Aykut Gurses detecta um ataque persistente como resultado da execução pelo usuário dos malwares SmokeLoader e Amadey Bot, impulsionados por cracks de software ou sites de keygen. A regra de detecção aborda as táticas de Evasão de Defesa e Execução do ATT&CK e suas técnicas correspondentes, incluindo Modificar Registro (T1112), Tarefa/Trabalho Agendado (T1053) e Execução pelo Usuário (T1204).
A consulta de caça à ameaças mencionada anteriormente, elaborada por Nattatorn Chuensangarun, detecta a atividade maliciosa da persistência do SmokeLoader ao copiar-se para o caminho Temp através de uma modificação chave do registro. Esta regra Sigma aborda a tática adversária de Evasão de Defesa com a Modificação do Registro (T1112) usada como técnica principal.
Nova versão do Amadey Bot Distribuída Via SmokeLoader (via process_creation)
Esta regra Sigma por Aytek Aytemur detecta a atividade suspeita schtasks.exe implementada pelo malware Amadey Bot instalado pelo SmokeLoader. A detecção aborda a técnica de Tarefa/Trabalho Agendado (T1053) do ATT&CK do repertório tático de Execução.
Especialistas do setor e aspirantes a contribuidores de conteúdo de detecção podem aprimorar suas habilidades em Engenharia de Detecção e Caçada à Ameaças participando do Threat Bounty Program apoiado pela iniciativa de crowdsourcing da SOC Prime. Crie conteúdo de detecção, compartilhe com pares da indústria e obtenha recompensas financeiras por suas contribuições com uma excelente oportunidade de auto-aperfeiçoamento.
Para obter acesso à lista completa de regras Sigma para detecção do malware SmokeLoader, clique no botão Detect & Hunt abaixo. Usuários não registrados da SOC Prime também podem acessar instantaneamente o contexto abrangente de ameaças relacionadas às mais recentes campanhas de SmokeLoader baixando Amadey Bot usando o motor de busca de ameaças cibernéticas da SOC Prime. Clique no botão Explore Threat Context e acesse metadados contextuais detalhados, incluindo referências do MITRE ATT&CK e CTI, links de mídia e mais insights acompanhados das últimas regras Sigma da plataforma da SOC Prime.
Detect & Hunt Explore Threat Context
Desde seu surgimento em 2018, o Amadey Bot foi frequentemente utilizado por adversários para prosseguir com atividades de reconhecimento, roubar dados sensíveis dos hosts infectados e entregar cargas maliciosas adicionais. Enquanto a distribuição do malware diminuiu em 2020-2021, o Amadey Bot ressurgiu em 2022 com funcionalidade aprimorada, trocando os kits de exploração Fallout e Rig pelo SmokeLoader como principal método de entrega.
De acordo com a investigação da AhnLab, o SmokeLoader é tipicamente executado por vítimas desavisadas como parte de cracks de software ou keygens. Assim, o malware supera com sucesso os alertas de antivírus, pois os usuários tendem a desativar proteções durante a instalação de cracks de software. Além disso, o SmokeLoader injeta a carga maliciosa no processo do explorer.exe e estaciona o Amadey no sistema comprometido.
Notavelmente, a versão 3.21 mais recente do Amadey Bot é capaz de identificar cerca de 14 produtos antivírus e evitar a detecção enquanto ganha persistência no host. Após coletar informações do sistema, o Amadey injeta malware adicional, incluindo vários infostealers, como o RedLine. As cargas maliciosas são buscadas e executadas com bypass de UAC e escalonamento de privilégios. Além disso, PowerShell é utilizado para excluir o Windows Defender e garantir uma instalação furtiva.
Para prevenir infecções por Amadey Bot e SmokeLoader, os usuários são instados a evitar o uso de cracks de software e geradores de chaves ilegítimos. Além disso, os profissionais de segurança podem aumentar suas capacidades de detecção de ameaças e a velocidade de caça às ameaças registrando-se na Plataforma Detection as Code da SOC Prime. A plataforma agrega mais de 200.000 algoritmos de detecção para as ameaças existentes e emergentes entregues dentro de um prazo de 24 horas e permite ficar um passo à frente dos atacantes. Caçadores de Ameaças e Analistas de Segurança experientes são muito bem-vindos a se juntar ao nosso Threat Bounty Program para submeter suas regras Sigma e receber pagamentos recorrentes enquanto contribuem para a defesa cibernética colaborativa.
