AZORultバージョン 3.2 これまで以上に悪用されるスパイウェア

AZORultは、侵害されたシステムからさまざまな機密情報を収集するように設計された情報スティーラーおよびダウンローダーです。. マルウェアはで最初に識別されました 2016 感染の一部として配布されたとき Chthonicバンキング型トロイの木馬. 7月に行われたアンダーグラウンドフォーラムで新しく更新されたバージョンがリリースされた直後 17, Proofpointのセキュリティ研究者は、AZORultスパイウェアの新しい大幅に改善されたバージョンを運ぶ大規模なスパムメールキャンペーンを検出しました.

AZORultスパイウェア ハッカーが侵害されたPCからさまざまな種類の機密データを盗むことを可能にする脅威です. で起こった最初のリリースで 2016, AZORultは、インストールして実行するために別のマルウェアを必要とするマルウェアでした. 今年の初め、セキュリティ研究者はその配布技術の変化を発見しました. 彼らは、添付されたスパムメールキャンペーンがたくさんあることを確認しました RTFドキュメント 悪名高い脆弱性を悪用し、悪名高いスパイウェアを配信するように設計されました. それ以来、AZORultはさまざまなマルスパム攻撃の一部として検出されています.

AZORultスパイウェアに感染した場合に盗まれる可能性のある詳細の中には 保存されたパスワード, ブラウザからのCookie, cryptocurrencywallet.datファイル, スカイプメッセージ履歴, チャット履歴からのファイル, デスクトップに保存されているファイル, インストールされているプログラムのリスト, 実行中のプロセスのリスト, システムとハードウェアの詳細.

AZORultがバージョンにアップグレードされました 3.2

今月、脅威にはいくつかの注目すべきアップグレードを特徴とする新しいバージョンがあることが判明しました. によって発見されたように 研究者 Proofpointでは、この新しいバージョンのスパイウェアはバージョンとしてアドバタイズされています 3.2 地下フォーラムで. 脅威の作者は、公式リリースで次のように述べています AZORult v3.2 特徴:

• ブラウザからの履歴の盗用を追加しました (IEとEdgeを除く)
• 暗号通貨ウォレットのサポートが追加されました: 出エジプト記, Jaxx, 靄, イーサリアム, エレクトラム, Electrum-LTC
• 改良されたローダー. 無制限のリンクをサポートするようになりました. 管理パネルで, ローダーの動作に関するルールを指定できます. 例えば: mysite.comからCookieまたは保存されたパスワードがある場合, 次に、ファイルリンクをダウンロードして実行します[.]com / soft.exe. また、ルールがあります “暗号通貨ウォレットからのデータがある場合” また “すべてのために”
• 広告でサポートされている検索結果.
• Stealerはシステムプロキシを使用できるようになりました. プロキシがシステムにインストールされている場合, しかし、それを介した接続はありません, スティーラーは直接接続しようとします (念のため)
• 管理パネルの負荷を軽減.
• 管理パネルに削除するためのボタンを追加しました “ダミー”, すなわち. 有用な情報のないレポート
• 管理パネルのゲスト統計に追加
• 管理パネルにジオベースを追加

AZORultの動作

更新されたAZORultがアンダーグラウンドフォーラムでデビューした翌日、脅威の攻撃者が大規模な電子メールスパムキャンペーンでそれをリリースしました. この悪意のあるキャンペーンの電子メール部分は、求人に関連する件名を使用していることが検出されましたが、テーマは時間内に簡単に変更される可能性があります.

彼らがスパイウェアを隠す場所は、彼らに添付されたパスワードで保護された文書にあります. 感染プロセスを開始するには、受信者は電子メールメッセージで提供されているパスワードを入力してから、マクロを有効にする必要があります。. これ, 順番に, AZORultスパイウェアをダウンロードし、コマンドアンドコントロールへの接続を確立できるようにします (C&C) 収集されたすべての詳細を実際に送信するサーバー.

さらに悪いことに、スパイウェアはさらにダウンロードするように設定されています エルメス 2.1 ランサムウェア ペイロード. これが発生した瞬間、ランサムウェア感染はすべての貴重なファイルを破壊し、被害者から身代金の支払いを強要することができるようになります.