아마데이 봇(Amadey Bot) 악성코드의 새로운 변종이 스모크로더(SmokeLoader) 멀웨어를 통해 확산되고 있다.
ASEC 연구팀에 따르면, 아마데이 봇은 최근 여러 사이트에서 사용 가능한 소프트웨어 크랙 및 직렬 생성 프로그램에 숨겨진 스모크로더를 경유해 유포되고 있는 것으로 알려졌다.
아마데이 봇은 2018년에 처음 발견된 멀웨어로 추가 멀웨어를 설치할 수도 있다. 이 멀웨어는 불법 해킹 포럼에서 판매됐으며, 과거에는 TA505와 같은 사이버 범죄 조직이 사용하는 GandCrab 랜섬웨어와 FlawedAmmyy RAT를 설치하는데 사용되기도 했다.
스모크로더는 다른 멀웨어에 대한 로더 역할을 하며, 일단 실행되면 메인 봇을 현재 실행 중인 탐색기 프로세스(explorer.exe)에 주입하고 시스템에 아마데이 멀웨어를 다운로드한다.
아마데이 봇 악성코드
아마데이 봇은 실행 시 Temp 경로인 %TEMP%\9487d68b99\bguuwe[.]exe에 자신을 복사한 후, 지속성을 유지하기 위해 시작 폴더로 등록한다. 같은 목적으로 Task Scheduler에 자신을 등록하는 기능도 지원한다.
그 다음 멀웨어는 C2에 접속해 시스템 정보를 해커에게 보낸다. 이후 RedLine과 같은 추가 플러그인 및 정보를 훔치는 멀웨어를 다운로드하도록 유도한다. 전문가가 분석한 아마데이 봇의 최신 버전은 3.21이다.
아마데이 봇은 FXSUNATD.exe 도구를 통해 UAC(사용자 계정 컨트롤)를 통한 우회로 멀웨어를 설치하고 DLL 하이재킹을 통해 관리자 권한을 얻는다. 훔친 정보 목록에는 이메일, FTP, VPN 클라이언트 등이 포함된다. 정보 도용 플러그인은 다음 소프트웨어 공격에 이용될 수도 있다.
아마데이 봇에 대응하기 위해서는 OS 및 인터넷 브라우저 등 프로그램에 최신 패치를 적용하고 악성코드 감염을 사전에 방지하기 위해 V3를 최신 버전으로 업데이트해야 한다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
