近期，新版本的Amadey Bot惡意軟件使用軟件破解和注冊機站點作為誘餌，正通過SmokeLoader惡意軟件分發。Amadey Bot 是四年前發現的一種惡意軟件，它能夠執行系統偵察、竊取信息和加載額外的有效負載，雖然在2020年后它就消失了，但AhnLab的韓國研究人員報告說，一個Amadey Bot的新版本再現，并得到了現在仍然非?；钴S的 SmokeLoader 惡意軟件的支持。這與Amadey對Fallout和Rig漏洞利用工具包的依賴不同，這些工具包通常已經不再流行，因為它們針對的是過時的漏洞。

SmokeLoader通常會偽裝成軟件漏洞或keygen，讓受害者在毫不知情的情況下下載并執行。由于漏洞和密鑰生成器觸發防病毒警告的情況很常見，用戶在運行防病毒程序之前禁用防病毒程序是很常見的，這使它們很快成為分發惡意軟件的理想手段。當用戶執行后，它將“Main Bot”注入當前運行的 (explorer.exe) 進程，因此操作系統信任它并在系統上下載 Amadey。

獲取并執行 Amadey 后，它會將自身復制到名為“bguuwe.exe”的 TEMP 文件夾中，并使用 cmd.exe 命令創建計劃任務以保持持久性。接下來，Amadey 建立C2通信并向攻擊者的服務器發送系統配置文件，包括操作系統版本、架構類型、已安裝的防病毒工具列表等。

在其最新版本3.21中，Amadey可以發現14種防病毒產品，并且可能根據結果獲取可以避開正在使用的有效負載。服務器會響應指令，并以dll的形式下載額外的插件，以及其他信息竊取者的副本，最著名的是RedLine ('yuri.exe')。

同時它還會使用UAC繞過和權限提升來獲取和安裝有效負載。Amadey為此使用了一個名為“FXSUNATD.exe”的程序，并通過 DLL 劫持向管理員執行提升。在下載有效載荷之前，還使用PowerShell在Windows Defender上添加了適當的排除。此外，Amadey會定期捕獲屏幕截圖并將其保存在TEMP路徑中，以便和下一個POST請求一起發送到C2。

下載的其中的一個DLL插件“cred.dll”通過“rundll32.exe”運行，試圖從以下軟件中竊取信息：

Mikrotik 路由器管理程序 Winbox

Outlook

FileZilla

Pidgin

Total Commander FTP Client

RealVNC, TightVNC, TigerVNC

WinSCP

當然，如果將 RedLine 加載到主機上，目標范圍會急劇擴大，受害者可能會丟失帳戶憑據、通信、文件和加密貨幣資產。為了避免Amadey Bot和 RedLine帶來的危險，建議不要輕易下載承諾免費訪問高級產品的破解文件、軟件產品激活器或非法密鑰生成器。