Une nouvelle version du malware botnet Amadey.

Des chercheurs découvrent un terrible malware dans plusieurs logiciels crackés. Les chercheurs en sécurité informatique d’AnnLab ont découvert au sein de plusieurs logiciels crackés une nouvelle version d’un ancien malware, connu sous le nom d’Amadey Bot. (Sources)

Un botnet (de l'anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches.  Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s'est étendu aux réseaux de machines zombies, utilisés pour des usages malveillants, comme l'envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS). Parmi les botnets les plus connus, on trouve le code malveillant mirai, qui permet de lancer des attaques par déni de service (DDoS) via des objets connectés. Il scanne les ports Telnet ouverts et tente de se connecter à l'aide d'une liste prédéfinie d'informations d'identification par défaut ou faibles. En décembre 2021, Google met un terme à Glupteba, un botnet constitué d’un million de machines. Ce large réseau était utilisé en matière de cyberattaque via des infections par ransomwares. En août 2023, démantèlement de l’infrastructure du réseau de botnet malveillant Qakbot/Qbot.

Amadey Bot fait un retour en force avec l’aide du logiciel malveillant SmokeLoader. SmokeLoader charge Amadey Bot via des keygens et des failles logicielles. La nouvelle version améliorée du logiciel malveillant affiche encore plus de fonctionnalités par rapport à son prédécesseur, telles que des tâches planifiées pour la persistance, la reconnaissance avancée, le contournement de l’UAC et des stratégies d’évasion de défense adaptées à 14 produits antivirus connus. (Sources)

Amadey est un botnet apparu vers octobre 2018 et vendu environ 500$ sur les forums de piratage russophones. Il envoie périodiquement des informations sur le système et le logiciel AV installé à son serveur C2 et interroge pour recevoir des commandes de sa part. Sa fonctionnalité principale est qu'il peut charger d'autres charges utiles (appelées « tâches ») pour tous ou spécifiquement les ordinateurs ciblés compromis par le logiciel malveillant. Sur le principe, lorsque SmokeLoader est exécuté, Main Bot est injecté dans le processus d'exploration Windows en cours d'exécution (explorer.exe) et exécute des comportements malveillants. En 2022, Les chercheurs affirment que les personnes derrière Amadey emballent le malware dans SmokeLoader et cachent le duo dans des failles logicielles et des logiciels de génération de clés de série sur plusieurs sites Web dédiés.


AhnLab Inc. est une société sud-coréenne qui développe des solutions destinées à protéger et à sécuriser l’information. Cotée au KOSDAQ, est dotée d'une équipe de recherche de plus de 250 personnes, et emploie au total plus de 550 employés. AhnLab développe des solutions et des services de sécurité de l'information de pointe pour les consommateurs, les entreprises et les petites et moyennes entreprises du monde entier. Cette société propose une gamme complète de produits de sécurité, comprenant des produits antivirus éprouvés de classe mondiale pour les ordinateurs de bureau et les serveurs, des produits de sécurité mobile, des produits de sécurité des transactions en ligne, des appliances de sécurité réseau et des services de conseil.