AZORult під маскою установника ProtonVPN

Тип статті:
Переклад

У троянця AZORult насичена історія. Але кілька днів виявлена, можливо, одна з найбільш незвичайних кампаній з його участю: злочинці створили фальшивий інсталятор ProtonVPN для Windows, інфікований шкідливим кодом.

Так виглядає підроблений сайт ProtonVPN

Кампанія була запущена в кінці листопада 2019 року, коли її організатори зареєстрували новий домен protonvpn [.] Store. Реєстратор домену знаходиться в Росії.

Виявлено принаймні один з векторів атаки — шкідлива реклама в банерних мережах

(Malvertising).

На підробленому сайті жертва викачує фальшивий інсталятор ProtonVPN для Windows разом з імплантом ботнету Azorult.

Творіння злочинців є HTTrack-копією оригінального сайту ProtonVPN, як показано нижче.

Після того як жертва запускає імплант, він збирає інформацію на інфікованому комп'ютері і передає її на C2-сервер accounts [.] Protonvpn [.] Store.

1234

5

6

7

8

9

10

11

12

13

14

{«config: »:[«MachineID :»,

«EXE_PATH :»,

«Windows :»,

«Computer(Username) :»,

«Screen:»,

«Layouts:»,

«LocalTime:»,

«Zone:»,

"[Soft]",

«Host: User-Agent: Accept:; charset=Content-Type: HTTP/1.0POST text/*utf-8text/htmlHTTP/Proxy-AuthenticateAcceptContent-TypeContent-Lengthrealmhttp::Connection::connect: using proxy %1%http::Connection::connect: testing %1% for proxy routing»

]

}

  Кіберзлочинці створили шкідливе ПЗ, щоб красти криптовалюту з локальних гаманців (Electrum, Bitcoin, Etherium і т.д.), Імена та паролі для доступу до FTP-серверів з FileZilla, дані акаунтів електронної пошти, інформацію з локальних браузерів (в тому числі файли cookies), облікові дані для входу в WinSCP, облікові записи месенджера Pidgin і багато іншого.

Розпізнано кілька примірників, які використовувалися в ході кампанії:

Им'я файлуХеш MD5
ProtonVPN_win_v1.10.0.execc2477cf4d596a88b349257cba3ef356
ProtonVPN_win_v1.11.0.exe573ff02981a5c70ae6b2594b45aa7caa
ProtonVPN_win_v1.11.0.exec961a3e3bd646ed0732e867310333978
ProtonVPN_win_v1.11.0.exe2a98e06c3310309c58fb149a8dc7392c
ProtonVPN_win_v1.11.0.exef21c21c2fceac5118ebf088653275b4f
ProtonVPN_win_v1.11.0.exe0ae37532a7bbce03e7686eee49441c41
Unknown974b6559a6b45067b465050e5002214b

Антивірусне забеспечення роспізнає цю загрозу як HEUR:Trojan-PSW.Win32.Azorult.gen

RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|