AZORult er en informations stjæler og downloader designet til at høste forskellige følsomme oplysninger fra de systemer, den kompromiser. Malware blev først identificeret i 2016 når den blev fordelt som en del af en infektion med Chthonic bank Trojan. Kort efter udgivelsen af sin frisk opdateret version på underjordiske fora, som fandt sted på juli 17, sikkerheds forskere på Proofpoint opdaget en stor spam e-mail-kampagne, der bærer den nye væsentligt forbedret version af AZORult spyware.
AZORult spyware er en trussel, der giver hackere at stjæle forskellige former for følsomme data fra enhver kompromitteret pc. På sit første udgivelse, der skete i 2016, AZORult var en malware, der havde brug for et andet stykke malware at installere og køre det. Tidligere på året sikkerhed forskere spottet et skift i sine distributionsteknikker. De identificerede, at masser af spam e-mail kampagner med vedhæftet RTF-dokumenter var designet til at udnytte berygtede sårbarheder og levere den berygtede spyware. Siden da AZORult er blevet registreret som en del af forskellige malspam angreb.
Blandt de detaljer, der kunne stjæles i tilfælde af infektion med AZORult spyware er gemte adgangskoder, cookies fra browsere, cryptocurrency wallet.dat fil, skype beskedhistorik, filer fra chatten historie, filer gemt på skrivebordet, listen over installerede programmer, liste over kørende processer, system og hardware detaljer.
AZORult Opgraderet til version 3.2
I denne måned truslen viste sig at have en ny version, der er udstyret med nogle bemærkelsesværdige opgraderinger. Som findes ved den forskere på Proofpoint denne nye version af spyware er annonceret som Version 3.2 på en underjordisk forum. Der trussel forfatterne, at i sin officielle frigivelse AZORult v3.2 funktioner:
- Tilføjet tyveri af historie fra browsere (undtagen IE og Edge)
- Tilføjet understøttelse af cryptocurrency tegnebøger: Exodus, Jaxx, Tåge, Ethereum, Electrum, Electrum-LTC
- Forbedret loader. Nu understøtter ubegrænsede links. I admin panel, du kan angive reglerne for, hvordan kranen fungerer. For eksempel: hvis der er cookies eller gemte adgangskoder fra mysite.com, derefter downloade og køre link filen[.]dk / soft.exe. Der er også en regel “Hvis der er data fra cryptocurrency tegnebøger” eller “for alle”
- Ad-støttede søgeresultater.
- Stealer kan nu bruge systemet fuldmagter. Hvis en proxy er installeret på systemet, men der er ingen forbindelse gennem det, den stjæler vil forsøge at tilslutte direkte (bare i tilfælde)
- Reduceret belastning i admin panel.
- Tilføjet til admin panel en knap til at fjerne “dummies”, dvs.. rapporter uden nyttige oplysninger
- Lagt til gæst statistik admin panel
- Tilføjet til admin panel en geobase
AZORult i aktion
En dag efter den opdaterede AZORult debuterede på de underjordiske fora trussel aktører udgivet det i en stor e-mail-spam-kampagne. Den e-mails del af denne ondsindede kampagne blev detekteret at bruge emner relateret til beskæftigelse tilbud, men temaet kunne let ændres i tid.
Hvor de skjuler spyware er i password-beskyttede dokumenter knyttet til dem. For at infektionen proces til at begynde at modtageren har brug for at indtaste adgangskoden, der leveres i e-mailen og derefter gør det muligt for makroer. Dette, på tur, downloads AZORult spyware og gør det muligt at oprette en forbindelse til sin kommando og kontrol (C&C) server, hvor faktisk det sender alle de høstede detaljer.
For at gøre tingene værre spyware er yderligere indstillet til at downloade Hermes 2.1 ransomware nyttelast. I det øjeblik det sker den ransomware infektion bliver i stand til at korrumpere alle værdifulde filer og afpresse løsesum betaling fra ofre.
Hej, Jeg har et virusproblem, som m’ angribe min pc, han krypterede alle mine fotos , dokumenter …. med en .KOTI udvidelse , Jeg beder dig om hjælp, Tak på forhånd