AZORult,曾是俄罗斯黑客论坛上最为畅销的木马病毒之一,具有窃取受感染计算机上各种数据并上传到C2服务器的能力,包括浏览器历史记录、登录凭证、Cookie、指定文件夹中的文件(例如,Desktop文件夹中的所有TXT文件)以及加密货币钱包信息等。
在2018年底,AZORult的主要卖家CrydBrox公开宣布,将永久停止出售此木马病毒。但事实证明,AZORult显然没有因此销声匿迹。相反,后续还出现了众多变种,甚至开始被用作其他恶意软件的下载器。
近日,卡巴斯基实验室就发现了一个新的AZORult木马变种。为尽可能扩大传播范围,此变种被其开发者伪装成了ProtonVPN,一款虚拟专用网络软件(梯子?你懂的!)。
图1. ProtonVPN界面
恶意活动分析
根据卡巴斯基实验室的说法,这场恶意活动开始于2019年11月底,其背后的网络犯罪团伙还专门搭建了一个钓鱼网站(protonvpn[.]store)。
图2.虚假ProtonVPN网站
当受害者访问该钓鱼网站并下载虚假的ProtonVPN安装程序时,他们便会收到AZORult木马植入程序的副本。
图3.虚假ProtonVPN安装程序
初步分析显示,该钓鱼网站是直接从ProtonVPN官网复制而来的,使用了网站复制工具HTTrack。
图4.网站复制工具HTTrack的使用痕迹
一旦AZORult开始运行,它便会收集有关受感染计算机的各种信息,并将它们上传到C2服务器。
图5. AZORult收集的设备信息
进一步分析表明,此AZORult变种能够从众多软件中窃取信息,包括各种加密货币钱包(包括Electrum、Bitcoin和Etherium等)、FileZilla(一个免费开源的FTP软件)、各种电子邮箱以及各种浏览器(包括cookie)。
图6.虚假ProtonVPN软件的分析结果
结语
自2016年首次出现以来,到目前为止已经有大量的AZORult变种被发现。在后续的发展过程中,AZORult不仅被众多网络犯罪用于窃取敏感数据,而且还被用于传播其他恶意软件(充当下载器)。
卡巴斯基实验室的最新发现表明,尽管AZORult的主要卖家已经宣布将永久停止对它的出售,但它仍在被众多网络犯罪分子所使用,且不断被更新升级。我们想要再一次提醒大家,在下载各种软件时,请务必选择官方渠道,并警惕高度相似的钓鱼网站。
来源:网络攻防
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!