С декабря 2022 года отдел реагирования на угрозы (TRU) компании eSentire наблюдал заражения вредоносной программой Aurora Stealer в производственной сфере. Она распространяется через поддельную рекламу Google Ads для установщика Notepad++.
Aurora Stealer собирает конфиденциальные данные, включая куки, информацию автозаполнения и зашифрованные пароли из таких браузеров, как Opera, Brave, Mozilla Firefox, Chrome и др. Однако стоит отметить, что стилер не собирает учетные данные из Mozilla Firefox.
Цена вредоносной программы составляет $125USD в месяц, $300USD за 3 месяца доступа и $1,000USD за пожизненный доступ. Чтобы избежать обнаружения антивирусными сканерами, двоичный код заполнен нежелательными байтами для увеличения размера файла.
В данном анализе вредоносного ПО рассматриваются технические подробности работы вредоносной программы Aurora Stealer и наши рекомендации по безопасности для защиты вашей организации от ее эксплуатации.
Основные выводы
- Разработчик Aurora Stealer активно работает над ботнетом Aurora, который включает различные модули, такие как загрузчик, DDoS (распределенный отказ в обслуживании), брутфорс криптокошельков, HVNC/HRDP/RDP/VNC, сканер Nmap.
- Aurora Stealer хранит свои конфигурации в base64-кодированном формате.
- Журналы кражи отправляются на C2 через порт по умолчанию 8081 в формате JSON с GZIP-сжатием и кодировкой base64.
- Aurora Stealer оснащен модулями grabber и loader, которые позволяют ему собирать определенные файлы и папки, а также внедрять в систему дополнительные вредоносные программы.
Indicators of Compromise
IPv4 Port Combinations
- 185.106.93.135:8081
- 185.106.93.245:8081
- 195.123.218.52:8081
- 212.87.204.93:8081
MD5
- 16b349b80ef9e6d6a86e768b4e01fc4c
- 306fc85ff1c7e06f631c37d60d4ad98b
- da1548613d5fa9520931952675f92ca9
SHA256
- aa349ad45bb48e85b5cd1b55308ae835353859219f28ece9685c8ae552e8e63a
