Лица, связанные с вредоносным программным обеспечением AZORult, выпустили обновленную версию с улучшениями как в функции перехват, так и в функции загрузчика. В течение дня после выпуска новой версии пользователь даркнета применил AZORult в большой кампании, связанной с электронной почтой для распространения программы-вымогателя Hermes.
Новая кампания с обновленной версией AZORult, поставляющая тысячи сообщений, ориентированных на Северную Америку, с темами «О роли (About a role)», «Заявка на работу», содержит прикрепленный документ office «firstname.surname_resume.doc».
Злоумышленники использовали документы, защищенные паролем, чтобы избежать обнаружения антивирусом. А как только пользователь вводит пароль для документов, компьютер просит включить макрос, который загружает AZORult, а затем программу-вымогатель Hermes 2.1.
Реклама AZORult на подпольном форуме
Исследователи безопасности из Proofpoint заметили новую версию (3.2) вредоносного ПО AZORult, рекламируемого в подпольном форуме, с полным списком изменений.
UPD v3.2
[+] добавлена история перехвата из браузеров (кроме IE и Edge)
[+] добавлена поддержка кошельков криптовалют: Exodus, Jaxx, Mist, Ethereum, Electrum, Electrum-LTC
[+] улучшенный загрузчик. Теперь поддерживает неограниченное количество ссылок. На панели администратора вы можете узнать правила работы загрузчика. Например: если есть куки или сохраненные пароли от mysite.com, загрузите и запустите файл link[.]com/soft.exe. Кроме того, существует правило «Если есть данные из кошельков с криптовалютами» или «для всех»
[+] Похититель теперь может использовать системные прокси. Если в системе установлен прокси-сервер, но через него нет никакого соединения, то он попытается напрямую подключиться (на всякий случай).
[+] ограничена загрузка на панели администратора.
[+] на панели администратора добавлена кнопка для удаления «фиктивных предметов» ( “dummies”), т.е. отчетов, не содержащих полезной информации.
[+] на панели администратора добавлена статистика гостей.
[+] на панели администратора добавлена геобаза.
Кампания AZORult
В соответствии с отчетами исследователей, вредоносная кампания содержит как пароль похитителя, так и программу-вымогатель. Менее привычно видеть и то, и другое. Поэтому, прежде чем вызывать атаку программы-вымогателя, похититель будет проверять наличие кошельков с криптовалютами и украденные учетные данные до того, как файлы будут зашифрованы.
Когда жертвы открывают защищенный паролем документ, он просит включить макрос, а макрос загружает AZORult. Затем он подключается к серверу C & C с зараженной машины, а сервер C & C отвечает с помощью 3-байтового ключа с кодировкой XOR.
После первоначального обмена между зараженной машиной и сервером C & C зараженная машина отправляет учетные данные с помощью 3-байтового ключа с кодировкой XOR. Он отправляет компьютерную информацию, украденные пароли, cookie и содержимое файла.
Затем, после того, как завершено удаление украденных учетных данных с зараженной машины, он загружает программу-вымогатель Hermes 2.1.
Исследователи говорят: «Недавнее обновление к AZORult включает значительные обновления для вредоносного программного обеспечения, которое уже было успешно установлено как в почтовых, так и в веб-угрозах».
Подписывайтесь на наш паблик на сайте «ВКонтакте», канал в Telegram и профиль Google+
