Новости Троян AZORult превращает Google Документы в рассадник вирусов

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
AZORult приспосабливается к современным средствам защиты с помощью хитрой кампании.


wro1s2zutbibp2gca0f571y4ii3d3m4o.jpg


Netskope Threat Labs Для просмотра ссылки Войди или Зарегистрируйся новую кампанию, в ходе которой используются фишинговые страницы Google Sites для распространения инфостилера AZORult . Фишинговая кампания пока не связана с каким-либо конкретным злоумышленником или группой, она направлена на сбор чувствительных данных для последующей продажи в даркнете.

AZORult (также известный как PuffStealer и Ruzalto) — это вредоносная программа для кражи информации, впервые обнаруженная в 2016 году. Распространяется через фишинг, заражённые установщики пиратского ПО, поддельные читы для игр, а также через мошенническую рекламу.

После установки AZORult собирает учётные данные, куки и историю браузеров, скриншоты, документы с определёнными расширениями (TXT, DOC, XLS, DOCX, XLSX, AXX и KDBX), а также данные из 137 криптовалютных кошельков. Файлы AXX — это зашифрованные файлы, созданные AxCrypt, а KDBX — это база данных паролей, созданная менеджером паролей KeePass.

В обнаруженной атаке злоумышленники через Google Sites создали поддельные страницы Google Docs, которые затем используют технику HTML Smuggling для доставки вредоносного кода. Такой метод позволяет обойти стандартные меры безопасности, в том числе шлюзы электронной почты, которые обычно проверяют наличие подозрительных вложений.

В кампании также используется CAPTCHA, которая не только придает правдоподобности, но и служит дополнительным слоем защиты от сканеров URL.

Скачанный вредоносный файл представляет собой ярлык Windows, который маскируется под выписку по счету в банке в формате PDF. Запуск ярлыка инициирует серию действий по выполнению промежуточных скриптов и скриптов PowerShell с уже скомпрометированного домена.
 
Источник новости
www.securitylab.ru

Похожие темы