AZORult,曾是俄羅斯黑客論壇上最為暢銷的木馬病毒之一,具有竊取受感染計算機上各種數據並上傳到C2服務器的能力,包括瀏覽器歷史記錄、登錄憑證、Cookie、指定文件夾中的文件(例如,Desktop文件夾中的所有TXT文件)以及加密貨幣錢包信息等。
在2018年底,AZORult的主要賣家CrydBrox公開宣佈,將永久停止出售此木馬病毒。但事實證明,AZORult顯然沒有因此銷聲匿跡。相反,後續還出現了眾多變種,甚至開始被用作其他惡意軟件的下載器。
近日,卡巴斯基實驗室就發現了一個新的AZORult木馬變種。為儘可能擴大傳播範圍,此變種被其開發者偽裝成了ProtonVPN,一款虛擬專用網絡軟件(梯子?你懂的!)。
惡意活動分析
根據卡巴斯基實驗室的說法,這場惡意活動開始於2019年11月底,其背後的網絡犯罪團伙還專門搭建了一個釣魚網站(protonvpn[.]store)。
當受害者訪問該釣魚網站並下載虛假的ProtonVPN安裝程序時,他們便會收到AZORult木馬植入程序的副本。
初步分析顯示,該釣魚網站是直接從ProtonVPN官網複製而來的,使用了網站複製工具HTTrack。
一旦AZORult開始運行,它便會收集有關受感染計算機的各種信息,並將它們上傳到C2服務器。
進一步分析表明,此AZORult變種能夠從眾多軟件中竊取信息,包括各種加密貨幣錢包(包括Electrum、Bitcoin和Etherium等)、FileZilla(一個免費開源的FTP軟件)、各種電子郵箱以及各種瀏覽器(包括cookie)。
結語
自2016年首次出現以來,到目前為止已經有大量的AZORult變種被發現。在後續的發展過程中,AZORult不僅被眾多網絡犯罪用於竊取敏感數據,而且還被用於傳播其他惡意軟件(充當下載器)。
卡巴斯基實驗室的最新發現表明,儘管AZORult的主要賣家已經宣佈將永久停止對它的出售,但它仍在被眾多網絡犯罪分子所使用,且不斷被更新升級。我們想要再一次提醒大家,在下載各種軟件時,請務必選擇官方渠道,並警惕高度相似的釣魚網站。
閱讀更多 黑客視界 的文章