POZOR, vírus Azorult dokáže ukradnúť z prehliadača Chrome prihlasovacie údaje, súbory cookies a dáta prehliadania!
Azorult využíva sofistikované metódy na to, aby sa vyhol odhaleniu. Z počítača a prehliadača vám ukradne všetky dôležité dáta.
Bezpečnostní experti z Netscope Threat Labs pozorovali hackerskú kampaň Azorult, ktorá implementuje niekoľko mimoriadne sofistikovaných metód na to, aby sa vyhla odhaleniu.
Azorult sa radí k infostealerom a po prvýkrát ho bezpečnostní analytici odhalili ešte v roku 2016. Tento škodlivý softvér kradne prihlasovacie údaje, dáta z prehliadačov a kryptopeňaženiek. Podľa najnovšej správy je Azorult opäť na vzostupe a drží sa ako jedna z top malvérových rodín, ktoré udreli za posledný rok.
V novom príspevku bezpečnostní experti popisujú novú kampaň, ktorá uplatňuje sofistikované maskovacie metódy a pozornosť expertov si získala hneď niekoľkými dôvodmi. Malvér Azorult doručí prvý škodlivý kód cez takzvaný “HTML smuggling”. Ide o jednu z metód, ako sa môže malvér vyhnúť odhaleniu. Rovnakú technológiu použili aj hackeri sponzorovaní Čínskou vládou a Nokoyawa ransomware.
Azorult ale využíva netradičnú HTML smuggling metódu. V rámci nej sa škodlivý kód do zariadenia doručí pomocou samostatného JSON súboru, ktorý sa ukladá na externej stránke. Infostealer Azorult nemá špecifické súbory, namiesto toho sa aktivuje pomocou špecifickej metódy načítavania kódu. Znamená to, že sa vyhne kontrolám škodlivých súborov, ktoré čítajú disk obete. Do tretice používa aj techniku AMSI bypass, ktorá umožňuje malvéru vyhnúť sa rôznym antivírovým softvérom, napríklad Windows Defenderu.
Poďme sa ale bližšie pozrieť na HTML smuggling. Ako sme už spomenuli, ide o techniku, ktorej cieľom je vyhnúť sa odhaleniu. To malvér dosiahne tak, že obíde ovládacie prvky webu, ktoré blokujú rizikové typy súborov. Na to využíva legitímne HTML5 sťahovacie atribúty a JavaScript. V rámci kampane útočníci vytvorili falošné dokumenty Google Docs na stránkach Googlu. Cez ne použili HTML smuggling na doručenie škodlivého kódu.
Neprehliadnite
Obete sú oklamané a po celý čas si myslia, že súbor, ktorý si stiahli, pochádzal z legitímneho Google Dokumentu. Vo väčšine prípadov hackeri ukryjú škodlivý kód do samotného JavaScriptu. V prípade infostealera Azorult hackeri dodávajú falošný kód ako samostatný JSON súbor. Keď obeť vstúpi na stránku, jej zariadenie odosiela požiadavku GET na stiahnutie JSON súboru zo separátnej domény. Ďalšou vrstvou ochrany je overenie CAPTCHA, ktoré slúži ako ďalšia forma ochrany pred URL skenermi.
Kradne prihlasovacie údaje, dáta prehliadania aj dôležité dokumenty
Keď sa Azorult dostane do zariadenia, ako prvé zachytí snímku obrazovky. Tým zistí, aké je rozlíšenie obrazovky. Následne zachytí ešte jeden screenshot obrazovky, aby zistil, čo je na nej zobrazené. Popri tom získava informácie z prehliadača obete. Azorult dokáže získať z prehliadača Chrome prihlasovacie údaje, súbory cookies a dáta prehliadania. Tie následne posiela na servery útočníka.
Zároveň však dokáže získať informácie o kryptopeňaženkách z prehliadačov Chrome, Edge a Firefox. Malvér má informácie o 119 Chrome kryptopeňaženkách a 12 Edge rozšíreniach. Ako prvé identifikuje, či má užívateľ nainštalované rozšírenie kryptopeňaženky v prehliadači Chrome alebo Edge. Ak zistí, že užívateľ má kryptopeňaženku, vytiahne všetky uložené dáta a posiela ich útočníkovi.
Ako posledné sa Azorult pozerá po citlivých dokumentoch. Na to využíva metódu, počas ktorej vyhľadáva určité prípony súborov alebo kľúčové slová. Niektoré typy súborov úplne vynecháva. Keď infostealer nájde všetky relevantné súbory, odosiela ich na server útočníka.
Útočníci s najväčšou pravdepodobnosťou rozposielajú phishingové e-maily, ktoré majú v sebe škodlivý odkaz. Ako sme už spomenuli, hackeri vytvárajú falošné Google Dokumenty na stránkach Google, vďaka čomu zvyšujú pocit dôveryhodnosti.
Komentáre