Investigadores da Kaspersky observaram uma nova versão em C ++ do infostealer AZORult que implementa um novo módulo que permite destabelecer ligações RDP.

O Trojan AZORult é um dos infostealers mais populares no submundo do cibercrime russo.

O malware AZORult foi descoberto pela primeira vez em 2016 pela Proofpoint que descobriu que era parte de uma infecção secundária através do trojan banker Chthonic.

Mais tarde, a ameaça esteve envolvida em muitos ataques de spam, mas apenas em julho de 2018, os autores lançaram uma nova variante substancialmente atualizada.

Este malware é capaz de registar o histórico do navegador, roubar credenciais de login, cookies de carteiras de bitcoin, ficheiros sensíveis do computador infetado, e muito mais.

 

O malware está com um preço relativamente alto (US $100). Suporta uma panóplia de funcionalidades, como o o uso de domínios .bit  para os servidores C&C para proteger o anonimato do malfeitor e dificultar o bloqueio do servidor.

Este malware também é capaz de descarregar novos payloads em runtime e injetá-los na máquina infetada.

A versão C ++ foi descoberta pela primeira vez no início de março de 2019. Os especialistas acreditam que ela foi construída por acólitos do CrydBrox, o autor inicial do AZORult, que decidiu desativá-la depois que o AZORult 3.2 se tornar amplamente disponível e ter infetado um grande número de utilizadores.

“It appears that the acolytes of CrydBrox, the very one who pulled the plug on AZORult, decided to rewrite it in C++; this version we call AZORult++.” reads the analysis published by Kaspersky. “The presence of lines containing a path to debugging files likely indicates that the malware is still in development, since developers usually try to remove such code as soon as feasible.“

A análise do malware revela que o AZORult ++ é afetado por vários problemas, sugerindo que o projeto está nos primeiros estágios de desenvolvimento.

Como outros malwares populares, ele verifica primeiro o ID de idioma da máquina de destino e interrompe a execução se identificar que a vítima utiliza um SO em russo, armênio, azerbaijano, bielorrusso, georgiano, cazaque, tadjique, turcomano ou uzbeque.

Esta versão C ++ é mais limitada que as anteriores. Em comparação com o AZORult 3.3, ele não suporta a funcionalidade de loader de outros módulos externos de forma a tornar o malware totalmente modular.

AZORult-c

 

O AZORult 3.3 e o AZORult ++ utilizam o mesmo algoritmo para comunicação com o servidor C & C, utilizam o formato de comandos, a estrutura e método de armazenamento dos dados recolhidos e chaves de encriptação.

O malware mantém os dados roubados na RAM e eles não são transferidos para o disco rígido para evitar a sua deteção.

A melhoria mais preocupante para a versão C ++ é a capacidade de estabelecer uma conexão remota com as máquinas comprometidas via RDP.

O malware cria uma nova conta de administrador oculta na máquina e define uma chave de registo para estabelecimento de ligações RDP.

“Despite its many flaws, the C++ version is already more threatening than its predecessor due to the ability to establish a remote connection to the desktop. Because AZORult++ is likely still in development, we should expect its functionality to expand and bugs to be eliminated, not to mention attempts to distribute it widely under a name that buyers will recognize,” Kaspersky concludes.