Una nueva versión del ladrón de información Azorult apareció en la naturaleza es capaz de robar más datos incluyendo otros tipos de criptomonedas.
Una nueva versión del ladrón de información de Azorult apareció en la naturaleza, es capaz de robar más datos, incluidos otros tipos de criptomonedas, e implementa nuevas características.
La última versión del Azorult se entregó a través del kit de explotación RIG y otras fuentes; las variantes anteriores se distribuyeron principalmente a través de documentos de Office armados como adjuntos de mensajes de phishing.
AZORult es un ladrón de datos que fue detectado por primera vez en 2016 por Proofpoint y descubrió que era parte de una infección secundaria a través del troyano bancario Chthonic. Más tarde, estuvo involucrado en muchos ataques malspam, pero solo en julio de 2018, los autores lanzaron una variante sustancialmente actualizada.
En julio, los expertos descubrieron una nueva versión sofisticada de AZORult Spyware que participó en una gran campaña de correo electrónico el 18 de julio.
El código malicioso permite a los delincuentes robar credenciales, datos de tarjetas de pago, historiales de navegación y contenido de carteras de criptomonedas.
Ahora los expertos de Check Point han descubierto una nueva versión que se anuncia en un foro clandestino.
La nueva versión es una actualización sustancial de la anterior, los autores implementaron nuevas características como la capacidad de robar formas adicionales de criptomoneda de las carteras de las víctimas, como BitcoinGold, electrumG, btcprivate (electrum-btcp), bitcore y Exodus Eden.
"Durante la última semana, Check Point Research descubrió una nueva versión de Azorult en la naturaleza que se entrega a través del kit de explotación RIG, así como otras fuentes", dice el análisis publicado por los expertos.
"Hay bastantes cambios en esta variante recientemente observada, los más destacados son un nuevo método de cifrado de la cadena de dominio C&C incrustada, un nuevo método de conexión a C&C y la mejora del ladrón y cargador de carteras de moneda criptográfica".
La nueva variante implementa un nuevo método de cifrado utilizado para proteger la cadena de dominio codificada de C&C. junto con una nueva clave para conectarse al servidor de comando y control.
La nueva variante se ofreció por primera vez a la venta el 4 de octubre, algunos días se filtró en línea el código fuente de las versiones 3.1 y 3.2 de Azorult. A principios de este mes, los expertos de CheckPoint descubrieron en la Web Oscura un constructor en línea, denominado Gazorp, que permite a los delincuentes Crea binarios personalizados para el malware Azorult.
Los expertos especulan que el autor de Azorult ha lanzado una nueva versión del ladrón de datos en respuesta a la disponibilidad de fugas del código fuente.
"Además, hemos presenciado y escrito sobre otro proyecto relacionado con Azorult, denominado 'Gazorp', un constructor binario de web oscura que permite a cualquiera crear los binarios de malware de forma gratuita", continúa CheckPoint.
"Teniendo esto en cuenta, es plausible que el autor de Azorult quiera introducir nuevas funciones en el malware y hacer que valga la pena como producto en el mercado subterráneo", continúa CheckPoint.
Fecha actualización el 2021-10-24. Fecha publicación el 2018-10-24. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: securityaffairs