O Trojan AZORult é um dos infostealers mais populares no submundo do cibercrime russo.
O malware AZORult foi descoberto pela primeira vez em 2016 pela Proofpoint que descobriu que era parte de uma infecção secundária através do trojan banker Chthonic.
Mais tarde, a ameaça esteve envolvida em muitos ataques de spam, mas apenas em julho de 2018, os autores lançaram uma nova variante substancialmente atualizada.
O malware está com um preço relativamente alto (US $100). Suporta uma panóplia de funcionalidades, como o o uso de domínios .bit para os servidores C&C para proteger o anonimato do malfeitor e dificultar o bloqueio do servidor.
Este malware também é capaz de descarregar novos payloads em runtime e injetá-los na máquina infetada.
A versão C ++ foi descoberta pela primeira vez no início de março de 2019. Os especialistas acreditam que ela foi construída por acólitos do CrydBrox, o autor inicial do AZORult, que decidiu desativá-la depois que o AZORult 3.2 se tornar amplamente disponível e ter infetado um grande número de utilizadores.
“It appears that the acolytes of CrydBrox, the very one who pulled the plug on AZORult, decided to rewrite it in C++; this version we call AZORult++.” reads the analysis published by Kaspersky. “The presence of lines containing a path to debugging files likely indicates that the malware is still in development, since developers usually try to remove such code as soon as feasible.“
A análise do malware revela que o AZORult ++ é afetado por vários problemas, sugerindo que o projeto está nos primeiros estágios de desenvolvimento.
Como outros malwares populares, ele verifica primeiro o ID de idioma da máquina de destino e interrompe a execução se identificar que a vítima utiliza um SO em russo, armênio, azerbaijano, bielorrusso, georgiano, cazaque, tadjique, turcomano ou uzbeque.
Esta versão C ++ é mais limitada que as anteriores. Em comparação com o AZORult 3.3, ele não suporta a funcionalidade de loader de outros módulos externos de forma a tornar o malware totalmente modular.
O AZORult 3.3 e o AZORult ++ utilizam o mesmo algoritmo para comunicação com o servidor C & C, utilizam o formato de comandos, a estrutura e método de armazenamento dos dados recolhidos e chaves de encriptação.
A melhoria mais preocupante para a versão C ++ é a capacidade de estabelecer uma conexão remota com as máquinas comprometidas via RDP.
O malware cria uma nova conta de administrador oculta na máquina e define uma chave de registo para estabelecimento de ligações RDP.
“Despite its many flaws, the C++ version is already more threatening than its predecessor due to the ability to establish a remote connection to the desktop. Because AZORult++ is likely still in development, we should expect its functionality to expand and bugs to be eliminated, not to mention attempts to distribute it widely under a name that buyers will recognize,” Kaspersky concludes.