Троян AZORult ворует пароли и маскируется под Google Update

Рекомендуем почитать:

Xakep #237. Даркнет 2018

• Содержание выпуска
• Подписка на «Хакер»

Эксперты Minerva Labs обнаружили интересный вариант распространения малвари AZORult. Специалисты получили от пользователя файл GoogleUpdate.exe, подписанный действующим сертификатом, однако вызвавший подозрения у защитного решения Anti-Evasion Platform. Файл выглядел легитимным средством обновления Google практически по всем параметрам, он имел верную иконку и уже упомянутый выше сертификат.

Изучив странное «средство обновления» более внимательно, исследователи обнаружили, что файл подписан не Google, а сертификатом Singh Agile Content Design Limited, выданным в ноябре прошлого года.

Более глубокий анализ выявил, что под настоящий GoogleUpdate маскировался AZORult. Троян удалось «опознать» сразу по нескольким признакам: запросы HTTP POST, который тот отправлял /index.php на домен в зоне .bit; типичное для данной малвари использование User-Agent Mozilla/4.0.

Специалисты пишут, что вредонос «придерживался легенды» и маскировался под средство обновления Google до конца. Так, малварь пряталась на самом виду и размещалась в C:Program FilesGoogleUpdateGoogleUpdate.exe, что позволяло ей работать с привилегиями администратора и добиться устойчивого присутствия в системе.

В итоге, малвари, которая уже подменила собой настоящее средство обновления Google, не приходилось вмешиваться в реестр Windows и создавать для себя отдельные запланированные задания. AZORult пользовался приписанными к Google заданиями GoogleUpdateTaskMachineCore и GoogleUpdateTaskMachineUA, а также соответственными ключами реестра.

AZORult – известный троян-стилер, который также может служить загрузчиком для других вредоносов. AZORult способен похищать самые разные пользовательские данные: информацию из файлов, пароли, куки, историю браузеров, банковские учетные данные и информацию о криптовалютных кошельках.

Источник