Киберпреступники создали новый канал распространения трояна AZORult. Как выяснили ИБ-специалисты, под видом легитимной утилиты G-Cleaner, предназначенной для очистки дискового пространства в среде Windows, раздается установщик вредоносной программы. Сайт, предлагающий фальшивое приложение, был обнаружен в конце марта, однако в настоящий момент он по-прежнему доступен онлайн.
Криминальная площадка выглядит как обычный ресурс разработчиков и содержит описание утилиты, а также лицензионное соглашение и другую информацию. Создатели программы утверждают, что она предназначена для удаления временных файлов, испорченных ссылок и очистки истории браузера. Тем не менее, после установки на компьютер G-Cleaner загружает в папку %Temp% ряд исполняемых объектов, которые являются компонентами трояна AZORult.
Вредоносные элементы создают в памяти целевой системы несколько процессов и устанавливают соединение с командным сервером. По его команде троян пытается скопировать пароли пользователя, данные криптовалютных кошельков, файлы cookie и другую конфиденциальную информацию. Собранные сведения он упаковывает в архив Encrypted.zip и передает в центр управления. По завершении работы AZORult удаляет свою копию с диска и старается уничтожить другие следы своего пребывания на компьютере.
Код трояна уплыл в Сеть в середине прошлого года и с тех пор активно используется криминальным сообществом. В дарквебе создан специальный сервис, который позволяет генерировать исполняемые модули AZORult в автоматическом режиме. Злоумышленнику достаточно лишь указать адрес своего командного сервера, который будет внедрен в дистрибутив вредоноса.
Чаще всего для распространения похитителя данных используются спам-рассылки, эксплойт-паки и возможности других троянов. Однако иногда киберпреступники изобретают необычные способы доставки полезной нагрузки. Так, в январе 2019 года ИБ-специалисты нашли AZORult в фальшивом файле службы обновления сервисов Google. Вредоносный объект заменял собой легитимный модуль, что позволяло ему автоматически запускаться как минимум дважды в день, не внося изменений в системный реестр.
Источник: https://threatpost.ru/azorult-trojan-pushed-from-website-advertising-new-windows-cleaner/32522/