Malware AZORult lanza ataques ransomware
Los agentes de amenazas detrás del malware AZORult lanzaron una versión actualizada con mejoras en las funcionalidades de robo y descarga
Un día después de la publicación de la nueva versión, un usuario oscuro de la web utilizó AZORult en una gran campaña de correo electrónico para distribuir Hermes ransomware.
La nueva campaña con la versión actualizada de AZORult entrega miles de mensajes orientados a América del Norte con temas " Acerca de un rol ", " Solicitud de trabajo " y contiene el documento de oficina armado " firstname.surname_resume.doc " adjunto.
Los atacantes utilizaron documentos protegidos con contraseña para evadir las detecciones de antivirus y, una vez que el usuario ingresó la contraseña para los documentos, solicita habilitar las macros que descargan el AZORult y luego el ransomware Hermes 2.1.
Los investigadores de seguridad de Proofpoint detectaron la nueva versión (3.2) del malware AZORult anunciado en el foro clandestino con registro de cambios completo.
UPD v3.2
- Robo agregado de la historia de los navegadores (excepto IE y Edge)
- Compatibilidad añadida para las carteras de criptomonedas: Exodus, Jaxx, Mist, Ethereum, Electrum, Electrum-LTC
- Cargador mejorado. Ahora admite enlaces ilimitados. En el panel de administración, puede especificar las reglas de funcionamiento del cargador. Por ejemplo: si hay cookies o contraseñas guardadas de mysite.com, entonces descargue y ejecute el enlace de archivo [.] Com / soft.exe. Además, hay una regla "Si hay datos de las billeteras de criptomoneda" o "para todos"
- Stealer ahora puede usar proxys del sistema. Si se instala un proxy en el sistema, pero no hay conexión a través del mismo, el ladrón intentará conectarse directamente (por si acaso)
- Se redujo la carga en el panel de administración.
- Se agregó al panel de administración un botón para eliminar "dummies", es decir, informes sin información útil
- Agregado a las estadísticas de invitados del panel de administración
- Agregado al panel de administración una geobase
Según los investigadores, la campaña de malware contiene tanto el robo de contraseñas como el ransomware, es menos común ver ambos. Entonces, antes de causar un ataque de ransomware, el ladrón verificará las billeteras de criptomonedas y robará las credenciales antes de que los archivos se cifren.
Cuando las víctimas abren el documento protegido por contraseña, solicita habilitar las macros y las macros descargan AZORult. Luego se conecta al servidor de C & C desde la máquina infectada y el servidor de C & C responde con la clave de 3 bytes codificada por XOR.
Después del intercambio inicial entre la máquina infectada y el servidor de C & C, la máquina infectada envía las credenciales con la clave de 3 bytes codificada en XOR. Envía la información de la computadora, las contraseñas robadas, las cookies y el contenido del archivo.
Luego, después de excretar las credenciales robadas de la máquina infectada, descarga el ransomware Hermes 2.1.
Los investigadores dijeron que "la actualización reciente de AZORult incluye mejoras sustanciales al malware que ya estaba bien establecido tanto en el correo electrónico como en los entornos de amenazas basados en la web".