Segundo pesquisadores o Malware Amadey está distribuindo o Lockbit através de dois métodos: um usando um arquivo de documento do Word malicioso e o outro usando um executável que disfarça o ícone do arquivo do Word.

Embora sua função principal seja coletar informações confidenciais dos hosts infectados, ele também funciona como um canal para fornecer artefatos do próximo estágio.

No início de julho, ele foi espalhado usando o SmokeLoader, um malware com recursos não tão diferentes como ele. No mês passado, a ASEC também encontrou o malware distribuído sob um serviço de mensagens instantâneas popular na Coreia do Sul, como parte de uma campanha de phishing.

A análise mais recente da empresa de segurança cibernética é baseada em um arquivo do Microsoft Word que foi carregado no VirusTotal em 28 de outubro de 2022.

O documento contém uma macro VBA maliciosa que, quando habilitada pela vítima, executa um comando do PowerShell para baixar e executar o Amadey.

Em uma cadeia de ataque alternativa, o Amadey é disfarçado como um arquivo aparentemente inofensivo com um ícone do Word, mas na verdade é um executável (“Resume.exe”) que é propagado por meio de uma mensagem de phishing. A ASEC disse que não conseguiu identificar o e-mail usado como isca.