AZORult is een informatie stealer en downloader ontworpen om verschillende gevoelige gegevens oogsten uit het systeem te compromitteert. De malware werd voor het eerst geïdentificeerd in 2016 toen het werd verdeeld als een deel van een infectie met Chthonic banking Trojan. Al snel na de release van zijn vers bijgewerkte versie op ondergrondse fora die zich hebben voorgedaan op juli 17, security onderzoekers van Proofpoint ontdekte een grote spam e-mail campagne die de nieuwe aanzienlijk verbeterde versie van AZORult spyware draagt.
AZORult spyware is een bedreiging waarmee hackers om verschillende soorten van gevoelige gegevens te stelen vanaf een gecompromitteerde pc. Op haar eerste release die gebeurde in 2016, AZORult was een malware die nodig ander stuk malware te installeren en voer het uit. Eerder dit jaar security onderzoekers zagen een verschuiving in de distributie technieken. Zij identificeerden die veel spam e-mailcampagnes met aangehechte RTF-documenten werden ontworpen om beruchte kwetsbaarheden en leveren de beruchte spyware. Sindsdien AZORult gedetecteerd uit verscheidene malspam aanslagen.
Onder de details die in het geval van een infectie zou kunnen worden gestolen met AZORult spyware opgeslagen wachtwoorden, cookies van browsers, cryptogeld wallet.dat file, skype berichtgeschiedenis, bestanden van chatgeschiedenis, bestanden die zijn opgeslagen op het bureaublad, lijst met geïnstalleerde programma, lijst van de lopende processen, systeem en hardware details.
AZORult opgewaardeerd naar versie 3.2
Deze maand is de dreiging bleek een nieuwe versie die een aantal opmerkelijke upgrades voorzien hebben. Zoals gevonden door de onderzoekers bij Proofpoint deze nieuwe versie van de spyware wordt aangeprezen als Version 3.2 op een ondergrondse forum. Er staat bedreiging auteurs die in zijn officiële release AZORult v3.2 Kenmerken:
- Toegevoegd stelen van de geschiedenis van browsers (behalve IE en Edge)
- Ondersteuning toegevoegd voor cryptogeld portefeuilles: Exodus, Jaxx, Mist, Ethereum, Electrum, Electrum-LTC
- verbeterde loader. ondersteunt nu onbeperkt aantal koppelingen. In de admin panel, U kunt de regels voor de manier waarop de lader werkt specificeren. Bijvoorbeeld: als er cookies of opgeslagen wachtwoorden van mysite.com, vervolgens downloaden en uitvoeren van het bestand koppeling[.]com / soft.exe. Ook is er een regel “Als er gegevens van cryptogeld portefeuilles” of “voor iedereen”
- Advertentie-ondersteunde zoekresultaten.
- Stealer kunnen nu gebruik maken van het systeem proxies. Als een proxy is geïnstalleerd op het systeem, maar er is geen verbinding doorheen, de stealer zal proberen om rechtstreeks verbinding (voor het geval dat)
- Verminderde de belasting in de admin panel.
- Toegevoegd aan de admin panel een knop voor het verwijderen “dummies”, dat wil zeggen. rapporten zonder nuttige informatie
- Toegevoegd aan de admin panel gast statistieken
- Toegevoegd aan de admin panel een geobase
AZORult in actie
Een dag nadat de bijgewerkte AZORult debuteerde op de ondergrondse forums dreiging acteurs vrijgegeven in een grote e-mail spam-campagne. De e-mails deel van deze kwaadaardige campagne werden gedetecteerd aan onderwerpen met betrekking tot werkaanbiedingen gebruiken, maar het thema kan gemakkelijk worden veranderd in de tijd.
Waar ze verbergt de spyware is in een wachtwoord beveiligde documenten aan hen gehecht. Om voor de infectie proces om de ontvanger te beginnen moet het wachtwoord dat wordt verstrekt in het e-mailbericht in te voeren en vervolgens maakt macro's. Deze, beurtelings, downloads AZORult spyware en maakt het mogelijk om een verbinding met de command and control vestigen (C&C) server waar eigenlijk stuurt alle geoogste gegevens.
Tot overmaat van ramp de spyware is verder ingesteld om het downloaden te maken Hermes 2.1 ransomware laadvermogen. Op het moment dat dit gebeurt, is de ransomware infectie wordt in staat om corrupte alle waardevolle bestanden en af te persen losgeld betaling van slachtoffers.
Gergana Ivanova
Zeer gemotiveerde schrijver met 5+ jarenlange ervaring met het schrijven voor ransomware, malware, adware, PUP, en andere aan cyberbeveiliging gerelateerde kwesties. Als schrijver, Ik streef ernaar om content te creëren die gebaseerd is op gedegen technisch onderzoek. Ik vind het leuk om artikelen te maken die gemakkelijk te begrijpen zijn, informatief, en nuttig. Volg me op Twitter (@IRGergana) voor het laatste nieuws op het gebied van computer, mobiel, en online beveiliging.
Volg mij:
hallo, Ik heb een virusprobleem dat m’ aanval mijn pc, hij versleutelde al mijn foto's , documenten …. met de extensie .KOTI , Ik vraag je om hulp, dank u bij voorbaat