O Trojan AZORult é um dos infostealers mais populares no submundo do cibercrime russo.
O malware AZORult foi descoberto pela primeira vez em 2016 pela Proofpoint que descobriu que era parte de uma infecção secundária através do trojan banker Chthonic.
Mais tarde, a ameaça esteve envolvida em muitos ataques de spam, mas apenas em julho de 2018, os autores lançaram uma nova variante substancialmente atualizada.
O malware está com um preço relativamente alto (US $100). Suporta uma panóplia de funcionalidades, como o o uso de domínios .bit para os servidores C&C para proteger o anonimato do malfeitor e dificultar o bloqueio do servidor.
Este malware também é capaz de descarregar novos payloads em runtime e injetá-los na máquina infetada.
A versão C ++ foi descoberta pela primeira vez no início de março de 2019. Os especialistas acreditam que ela foi construída por acólitos do CrydBrox, o autor inicial do AZORult, que decidiu desativá-la depois que o AZORult 3.2 se tornar amplamente disponível e ter infetado um grande número de utilizadores.
“It appears that the acolytes of CrydBrox, the very one who pulled the plug on AZORult, decided to rewrite it in C++; this version we call AZORult++.” reads the analysis published by Kaspersky. “The presence of lines containing a path to debugging files likely indicates that the malware is still in development, since developers usually try to remove such code as soon as feasible.“
A análise do malware revela que o AZORult ++ é afetado por vários problemas, sugerindo que o projeto está nos primeiros estágios de desenvolvimento.
Como outros malwares populares, ele verifica primeiro o ID de idioma da máquina de destino e interrompe a execução se identificar que a vítima utiliza um SO em russo, armênio, azerbaijano, bielorrusso, georgiano, cazaque, tadjique, turcomano ou uzbeque.
Esta versão C ++ é mais limitada que as anteriores. Em comparação com o AZORult 3.3, ele não suporta a funcionalidade de loader de outros módulos externos de forma a tornar o malware totalmente modular.
O AZORult 3.3 e o AZORult ++ utilizam o mesmo algoritmo para comunicação com o servidor C & C, utilizam o formato de comandos, a estrutura e método de armazenamento dos dados recolhidos e chaves de encriptação.
A melhoria mais preocupante para a versão C ++ é a capacidade de estabelecer uma conexão remota com as máquinas comprometidas via RDP.
O malware cria uma nova conta de administrador oculta na máquina e define uma chave de registo para estabelecimento de ligações RDP.
“Despite its many flaws, the C++ version is already more threatening than its predecessor due to the ability to establish a remote connection to the desktop. Because AZORult++ is likely still in development, we should expect its functionality to expand and bugs to be eliminated, not to mention attempts to distribute it widely under a name that buyers will recognize,” Kaspersky concludes.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.