新型间谍软件AZORult被安全专家发现

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。

一个新的复杂版本的AZORult间谍软件在野外被发现,它参与了7月18日的大型电子邮件活动
Proofpoint的恶意软件研究人员在野外发现了新版本的AZORult间谍软件,它于7月18日参与了大型电子邮件活动,仅在24小时就出现在黑暗网络上的网络犯罪论坛上。

攻击者发送了数千封针对北美的邮件。这些消息使用与就业相关的主题,如“关于角色”和“工作申请”,而恶意附加文档使用格式为“firstname.surname_resume.doc”的文件名。

“AZORult是一个强大的信息窃取程序和下载程序,Proofpoint研究人员最初在2016年通过Chthonic银行特洛伊木马识别出这是次要感染的一部分。我们已经观察到许多AZORult通过漏洞利用工具包和相当规律的电子邮件活动作为主要和次要有效载荷丢弃的实例。“阅读 ProofPoint 发布的分析。

“最近,AZORult的作者发布了一个大幅更新的版本,改进了它的窃取器和下载器功能。”

AZORult是Proofpoint于2016年首次发现的数据窃取者,发现它是通过Chthonic银行木马进行二次感染的一部分 。后来它参与了许多malspam攻击,但直到现在作者才发布了一个实质性更新的变种。

最新版本看起来比以前更复杂,它实现了从浏览器窃取历史记录的能力(IE和Edge除外),它包括一个在运行恶意代码之前检查某些参数的条件加载器,并包括对Exodus,Jaxx的支持, Mist,Ethereum,Electrum,Electrum-LTC加密货币钱包。

新型间谍软件AZORult被安全专家发现

完整更改日志下方:

UPD v3.2
[+]从浏览器中添加了历史记录窃取(IE和Edge除外)
[+]增加了对加密钱包的支持:Exodus,Jaxx,Mist,Ethereum,Electrum,Electrum-LTC
[+]改进的装载机。现在支持无限链接。在管理面板中,您可以指定加载程序的工作原理规则。例如:如果有来自mysite.com的cookie或保存的密码,则下载并运行文件链接[。] com / soft.exe。还有一条规则“如果有加密货币钱包的数据”或“为所有人”
[+]窃取者现在可以使用系统代理。如果系统上安装了代理,但没有通过它连接,则窃取程序将尝试直接连接(以防万一)
[+]减少了管理面板中的负载。
[+]在管理面板中添加了一个用于删除“假人”的按钮,即没有有用信息的报告
[+]添加到管理面板访客统计信息
[+]在管理面板中添加了geobase
条件加载器允许攻击者仅感染具有特定特征的系统,例如,它可以检查受害者机器上是否存在某些特定站点所需的cookie或保存的密码,

恶意软件成功连接C&C服务器后,它将向其发送以下文件:

接下来,在受感染的计算机和C&C服务器之间进行初始交换后,受感染的计算机会发送包含被盗信息的报告。报告再次使用相同的3字节密钥进行XOR编码; 解码版本的一部分如图5所示。被盗信息按部分组织:

info:Windows版本和计算机名称等基本计算机信息
pwds:此部分包含被盗密码(未确认)
厨师:饼干或访问过的网站
file:cookie文件的内容和包含更多系统分析信息的文件,包括机器ID,Windows版本,计算机名称,屏幕分辨率,本地时间,时区,CPU型号,CPU数量,RAM,视频卡信息,进程列表受感染的计算机以及受感染计算机上安装的软件。
完成此阶段后,AZORult可以下载下一阶段的有效负载。

专家将此活动归功于专注于加密货币的TA516威胁演员。

“与合法软件开发一样,恶意软件作者会定期更新其软件,以引入具有竞争力的新功能,提高可用性,并以其他方式区分其产品。“ ProofPoint 说 。

“最近对AZORult的更新包括对恶意软件的大量升级,这些恶意软件在电子邮件和基于Web的威胁环境中已经很成熟。值得注意的是,在新的更新出现在地下论坛的一天之内,一位多产的演员在一个大型电子邮件活动中使用了新版本,利用其新功能来发布爱马仕勒索软件。“

专家注意到,感染过程要求重要的用户交互以避免防病毒。受害者必须下载受密码保护的文档,只有在电子邮件正文中包含的弹出框中提供密码后,才会通过请求用户启用宏来启动攻击。

宏下载AZORult,后者又下载了Hermes 2.1勒索软件。

“AZORult恶意软件凭借其凭证和加密货币盗窃的能力,为个人带来潜在的直接经济损失,以及行动者在受影响组织中建立滩头阵地的机会,”专家们总结道。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz
CE安全网

发表评论

您必须登录才能发表评论!