Azorult Stealer

AZORult может похищать банковскую информацию, включая пароли и данные кредитных карт, а также криптовалюту. К этой постоянно обновляемой вредоносной программе для кражи информации не следует относиться легкомысленно, поскольку она продолжает оставаться активной угрозой.

Что такое вредоносная программа AZORult?

AZORult - это вредоносная программа для кражи информации, которая нацелена на кражу учетных данных и аккаунтов. Обновляясь несколько раз на протяжении многих лет, AZORult продолжает активно беспокоить пользователей, похищая такую информацию, как банковские пароли, данные кредитных карт, истории браузера и даже криптовалюту.

Впервые AZORult был обнаружен, проанализирован и задокументирован 26 июля 2016 года исследователями компании Proofpoint. В то время вирус распространялся вместе с другим трояном под названием Chthonic. Однако впоследствии спам-кампании по электронной почте стали распространять AZORult в качестве основной полезной нагрузки, а Hermes и Aurora ransomware были добавлены в качестве дополнительных полезных нагрузок. В июле 2018 года был задокументирован новый штамм троянца. Анализ показал, что он привнес несколько обновлений в функции как стеллера, так и загрузчика вируса, дополнительно позволяя распространять AZORult с набором эксплойтов RIG. Последняя зафиксированная версия вредоносной программы - v3.3. Впервые этот штамм был задокументирован в октябре 2018 года. Наиболее примечательно, что в этом штамме был обновлен способ шифрования строки домена C&C и улучшена функция кражи криптовалюты.

Общее описание вредоносной программы AZORult

Вредоносная программа троянского типа, происходящая из одной из стран бывшего СССР. Шпионская программа AZORult ищет полезную информацию на пораженном компьютере и отправляет ее на сервер C2 для потенциальной кражи данных банковского счета жертвы. AZORult может красть куки, информацию автозаполнения браузера, файлы рабочего стола, историю чатов и многое другое.

Интересно, что для проникновения на машину вирусу в некоторых случаях требуется вторичное вредоносное ПО, такое как HawkEye или Seamless. Примечательно, что после получения всех полезных данных в ходе кампаний с Hermes и Aurora, файлы пользователя шифруются, а для восстановления утраченных данных запрашивается выкуп.

Одной из интересных особенностей AZORult является то, что после выполнения вредоносная программа удаляется из системы из-за отсутствия механизма персистенции.

Как избежать заражения программой AZORult?

AZORult распространяется в основном с помощью спам-кампаний по электронной почте или через набор эксплойтов RIG. Примечательно, что 18 июля 2018 года была отмечена крупная кампания по распространению AZORult, направленная на Северную Америку.

Спам, который рассылали злоумышленники, в основном был связан с вопросами трудоустройства и включал зараженный и защищенный паролем файл резюме, который запускал загрузку вируса.

Процесс выполнения вредоносной программы AZORult

AZORult использует хитроумную технику, чтобы обмануть различные антивирусные системы. В частности, версия троянца, распространенная в спам-кампании в июле 2018 года, активировалась после разблокировки защищенного паролем документа. Поскольку документ, прикрепленный к письму, был защищен паролем, антивирусы не могли просканировать его и определить, является ли он вредоносным или нет. Чтобы вирус стал активным, жертва должна была разблокировать и включить макросы для документа. В этой конкретной кампании вредоносная программа распространялась с двумя полезными нагрузками, встроенными в основной двоичный файл. Обе полезные нагрузки сбрасывались на диск и исполнялись, причем первой исполняемой полезной нагрузкой был сборщик информации - сам AZORult, а затем вторичная программа выкупа.

Заключение

AZORult остается опасным троянцем. Троян-крадун модернизировался на протяжении всего своего существования и в настоящее время представляет еще большую опасность, чем в первые дни своей жизни. В частности, последние версии AZORult распространяются в комплекте с программами-вымогателями и могут похищать у жертв криптовалюту.

Благодаря тому, что AZORult распространяется в хитроумных кампаниях по электронной почте, стать жертвой троянца-угонщика относительно легко.

Поделиться с друзьями
SEC-1275-1