Οι εγκληματίες του κυβερνοχώρου φαίνεται πως στρέφονται σε ένα Go-based info-stealer malware με το όνομα “Aurora“, το οποίο τους επιτρέπει να κλέβουν ευαίσθητες πληροφορίες από προγράμματα περιήγησης και crypto apps, να αφαιρούν δεδομένα απευθείας από δίσκους και να κατεβάζουν πρόσθετα κακόβουλα payloads.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας SEKOIA, επτά ενεργές συμμορίες τουλάχιστον έχουν στραφεί στο Aurora και το χρησιμοποιούν είτε αποκλειστικά είτε σε συνδυασμό με τα Redline και Raccoon, δύο άλλα γνωστά malware κλοπής πληροφοριών.
Η ξαφνική άνοδος της δημοτικότητας του Aurora malware μπορεί να συνδέεται με τα χαμηλά ποσοστά ανίχνευσής του.
Το Aurora παρέχει ισχυρά χαρακτηριστικά για κλοπή δεδομένων, αλλά και μια “σταθερότητα” όσον αφορά την υποδομή και τη λειτουργία.
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Ανακαλύψτε το Νέο Ανθρωποειδές Ρομπότ GR-2!
Δείτε επίσης: ViperSoftX malware: Εγκαθιστά την επέκταση VenomSoftX και κλέβει crypto
Aurora malware
Το Aurora malware διαφημίστηκε αρχικά ως botnet project με εξαιρετικές ικανότητες κλοπής πληροφοριών και απομακρυσμένης πρόσβασης. Εντοπίστηκε πρώτη φορά τον Απρίλιο του 2022 σε ρωσόφωνα hacking φόρουμ.
Όπως ανέφερε η KELA νωρίτερα φέτος, ο δημιουργός του Aurora προσπαθούσε να σχηματίσει μια μικρή ομάδα δοκιμαστών για να διασφαλίσει ότι το τελικό προϊόν θα είναι αρκετά καλό.
Ωστόσο, στα τέλη Αυγούστου του 2022, η SEKOIA παρατήρησε ότι το Aurora διαφημιζόταν ως stealer. Ως αποτέλεσμα, το έργο εγκατέλειψε γρήγορα τον στόχο του για τη δημιουργία ενός εργαλείου πολλαπλών λειτουργιών.
Τα κύρια χαρακτηριστικά που αναφέρονται στις προωθητικές αναρτήσεις είναι:
- Polymorphic compilation που δεν απαιτεί crypter wrapping
- Server-side data decryption
- Στοχεύει πάνω από 40 crypto wallets
- Αυτόματo seed phrase deduction για το MetaMask
- Reverse lookup για συλλογή κωδικών πρόσβασης
- Λειτουργεί σε TCP sockets
- Επικοινωνεί με το C2 μόνο μία φορά, κατά τον έλεγχο άδειας
- Fully native μικρό payload (4,2 MB) που δεν απαιτεί dependencies
Το κόστος ενοικίασης του κακόβουλου λογισμικού ορίστηκε στα 250 $ το μήνα ή 1.500 $ για lifetime license.
Aurora Stealer malware: Ανάλυση
Μόλις εκτελεστεί, το Aurora χρησιμοποιεί το WMIC για να εκτελέσει εντολές και να συλλέξει κάποιες γενικές πληροφορίες του υπολογιστή, να λάβει ένα στιγμιότυπο οθόνης της επιφάνειας εργασίας και να στείλει όλα τα δεδομένα στο C2.
Δείτε επίσης: DraftKings: Χάθηκαν 300.000 δολάρια από credential stuffing
Στη συνέχεια, το κακόβουλο λογισμικό στοχεύει δεδομένα που είναι αποθηκευμένα σε πολλαπλά προγράμματα περιήγησης (cookies, κωδικούς πρόσβασης, ιστορικό, πιστωτικές κάρτες), σε cryptocurrency browser extensions, cryptocurrency wallet desktop apps και στο Telegram. Αυτό επιτρέπει στον κλέφτη να αποκτήσει πρόσβαση στις εμπιστευτικές πληροφορίες ενός χρήστη και να κλέψει τα χρήματά του.
Τα desktop wallet apps που στοχεύει το Aurora malware είναι τα Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda και Jaxx Liberty.
Όλα τα κλεμμένα δεδομένα ομαδοποιούνται σε ένα ενιαίο base64-encoded JSON file. Αυτό το αρχείο μεταφέρεται στη συνέχεια στο C2 μέσω των θυρών TCP 8081 ή 9865.
Η SEKOIA αναφέρει ότι δεν βρήκε κανένα στοιχείο που να αποδεικνύει την ύπαρξη ενός λειτουργικού file grabber, παρά τις υποσχέσεις του δημιουργού του κακόβουλου λογισμικού.
Δείτε επίσης: Απατεώνες παρακάμπτουν το 2FA για Coinbase και MetaMask και κλέβουν crypto
Ωστόσο, οι αναλυτές παρατήρησαν το πρόγραμμα φόρτωσης του Aurora malware που χρησιμοποιεί το “net_http_Get” για να εγκαταστήσει ένα νέο payload στο filesystem χρησιμοποιώντας ένα τυχαίο όνομα, και στη συνέχεια χρησιμοποιεί PowerShell για να το εκτελέσει.
Διανομή του Aurora malware
Δεδομένου ότι υπάρχουν επτά διαφορετικοί φορείς που χρησιμοποιούν το Aurora malware, δεν αποτελεί έκπληξη το γεγονός ότι το κακόβουλο λογισμικό φτάνει στα θύματα μέσω διαφόρων καναλιών.
Η SEKOIA παρατήρησε cryptocurrency phishing sites που προωθούνται μέσω phishing emails και βίντεο στο YouTube που συνδέονται με πλαστό λογισμικό και cheat catalog sites.
Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην έκθεση της SEKOIA.
Για να προστατευτείτε από τέτοια κακόβουλα λογισμικά, αποφύγετε τη λήψη προγραμμάτων από μη αξιόπιστες πηγές, ενημερώστε τακτικά τις συσκευές και τις εφαρμογές σας, χρησιμοποιήστε προγράμματα προστασίας από ιούς και κρατήστε αντίγραφα ασφαλείας των δεδομένων σας. Τα Infostealer malware μπορούν να χρησιμοποιηθούν για τη διάπραξη κλοπής ταυτότητας, οικονομικής απάτης και άλλων τύπων εγκλημάτων. Μόλις ο υπολογιστής σας μολυνθεί με αυτόν τον τύπο κακόβουλου λογισμικού, μπορεί να είναι δύσκολο να αφαιρεθεί. Γι’ αυτό είναι σημαντικό να γνωρίζετε τους κινδύνους και να λαμβάνετε μέτρα για την προστασία σας.
Πηγή: www.bleepingcomputer.com