Emmenthal és Amadey: kártevők új köntösben
Az Emmenthal nevű trójai programot korábban Ukrajnában terjesztették kártékony e-maileken keresztül; ott a SmokeLoader (SmokeLoader) nevű hátsó ajtós kártevőt juttatta célba. A most leleplezett kampányban viszont az Emmenthal terjesztője már a GitHubon keresztül juttatott el más kártevőt, az Amadeyt (Amadey). Ez a program először 2018-ban tűnt fel, és főként arra használják, hogy információkat gyűjtsön a megfertőzött rendszerről, majd további, célzott káros szoftvereket töltsön le.
A támadók egyszerűen egy GitHub URL-en keresztül dönthetik el, melyik további fertőzést telepítik. Több különböző kártevőt is szállítottak egyetlen kampányból: ez azt jelenti, hogy egy kiterjedt, „kártevő mint szolgáltatás” (Malware-as-a-Service, MaaS) rendszerről van szó, ahol akár más bűnözők számára is terjesztenek kártevőt.
Bonyolult trükkök és veszélyek
Az Emmenthal program négy rétegű: három rétegen át titkosít és álcáz, majd végül egy PowerShell-letöltőt futtat. A szakértők találtak ál-MP4 videófájlokat is, amelyeken keresztül szintén terjedt a kártevő, valamint egy egyedi, Python-alapú betöltőt (checkbalance.py). A vizsgálat részletes technikai jeleket is felsorol, amelyekkel a rendszergazdák azonosíthatják, hogy érintett volt-e a hálózatuk.
