È stato individuato un malware chiamato Amadey, specializzato nel furto di informazioni e distribuito attraverso una backdoor chiamata SmokeLoader.
La metodologia di attacco è la seguente: con l’inganno e l’ingegneria sociale, si portano gli utenti a scaricare SmokeLoader che si maschera da crack di software. L’oggetto malevolo si preoccupa a posteriori di diffondere il vero malware Amadey.
SmokeLoader è progettato per minimizzare le possibilità di rilevamento da parte dei sistemi di difesa mentre Amadey è attrezzato per sottrarre credenziali, acquisire schermate e recuperare informazioni di sistema fra cui i motori antivirus presenti sui dispositivi infettati.
Una prima lista di target a cui punta prevalentemente Amadey è la seguente: Mikrotik, Outlook, FileZilla, Pidgin, Total Commander FTP Client, RealVNC, TightVNC, TigerVNC e WinSCP.
Il secondo obiettivo di Amadey è quello di distribuire plug-in aggiuntivi e trojan di accesso remoto come Remcos RAT e RedLine Stealer, consentendo agli attaccanti di condurre una serie di attività illecite post-infezione.
Un buon strumento XDR gestito da un SOC esperto, unitamente ad un’efficace strategia di awareness del personale, limita fortemente questa minaccia.