AZORult，曾是俄羅斯黑客論壇上最為暢銷的木馬病毒之一，具有竊取受感染計算機上各種數據並上傳到C2服務器的能力，包括瀏覽器歷史記錄、登錄憑證、Cookie、指定文件夾中的文件（例如，Desktop文件夾中的所有TXT文件）以及加密貨幣錢包信息等。

在2018年底，AZORult的主要賣家CrydBrox公開宣佈，將永久停止出售此木馬病毒。但事實證明，AZORult顯然沒有因此銷聲匿跡。相反，後續還出現了眾多變種，甚至開始被用作其他惡意軟件的下載器。

近日，卡巴斯基實驗室就發現了一個新的AZORult木馬變種。為儘可能擴大傳播範圍，此變種被其開發者偽裝成了ProtonVPN，一款虛擬專用網絡軟件（梯子？你懂的！）。

圖1. ProtonVPN界面

惡意活動分析

根據卡巴斯基實驗室的說法，這場惡意活動開始於2019年11月底，其背後的網絡犯罪團伙還專門搭建了一個釣魚網站（protonvpn[.]store）。

圖2.虛假ProtonVPN網站

當受害者訪問該釣魚網站並下載虛假的ProtonVPN安裝程序時，他們便會收到AZORult木馬植入程序的副本。

圖3.虛假ProtonVPN安裝程序

初步分析顯示，該釣魚網站是直接從ProtonVPN官網複製而來的，使用了網站複製工具HTTrack。

圖4.網站複製工具HTTrack的使用痕跡

一旦AZORult開始運行，它便會收集有關受感染計算機的各種信息，並將它們上傳到C2服務器。

圖5. AZORult收集的設備信息

進一步分析表明，此AZORult變種能夠從眾多軟件中竊取信息，包括各種加密貨幣錢包（包括Electrum、Bitcoin和Etherium等）、FileZilla（一個免費開源的FTP軟件）、各種電子郵箱以及各種瀏覽器（包括cookie）。

圖6.虛假ProtonVPN軟件的分析結果

結語

自2016年首次出現以來，到目前為止已經有大量的AZORult變種被發現。在後續的發展過程中，AZORult不僅被眾多網絡犯罪用於竊取敏感數據，而且還被用於傳播其他惡意軟件（充當下載器）。

卡巴斯基實驗室的最新發現表明，儘管AZORult的主要賣家已經宣佈將永久停止對它的出售，但它仍在被眾多網絡犯罪分子所使用，且不斷被更新升級。我們想要再一次提醒大家，在下載各種軟件時，請務必選擇官方渠道，並警惕高度相似的釣魚網站。

閱讀更多 黑客視界 的文章

關鍵字: 電腦 黑客 釣魚