Мошенники продвигали AZORult под видом VPN Pirate Chick

Мошенники продвигали AZORult под видом VPN Pirate Chick

Два ИБ-исследователя обнаружили вредоносное ПО, которое маскируется под легальный VPN-сервис. По словам Лоуренса Абрамса (Lawrence Abrams), утилита под названием Pirate Chick VPN загружает на компьютер жертвы троян AZORult. Эксперт установил это совместно с Майклом Гиллеспи (Michael Gillespie) и его командой MalwareHunter.

Мошенники распространяли программу через поддельное обновление Adobe Flash Player и вредоносную рекламу. В последнем случае при переходе по ссылке человек попадал на типичную с виду продающую страницу, где помимо описания утилиты размещались FAQ, политика конфиденциальности и пользовательские соглашения. Посетителю предлагалось скачать пробную версию утилиты на три месяца. Исполняемые файлы также выглядели убедительно, поскольку были подписаны сертификатом британской компании ATX International Limited.

После открытия Pirate Chick VPN связывался с удаленным сервером, а затем загружал в папку %Temp% полезную нагрузку в виде .txt-файла и декодировал ее, превращая в исполняемый файл AZORult, который запускался в фоновом режиме.

Этот шпион предназначен для кражи логинов и паролей, данных кредитных карт и криптокошельков, истории браузера, файлов cookie и других сведений. Кроме того, он может служить загрузчиком для других зловредов.

Согласно исследованию «Лаборатории Касперского», наибольшей популярностью AZORult пользуется среди российских продавцов и покупателей вредоносного ПО. При этом программа постоянно дорабатывается и совершенствуется, а злоумышленники находят все новые способы ее доставки на устройства своих жертв.

Так, в текущем году они маскировали ее под службу обновления сервисов Google и утилиту для чистки дискового пространства G-Cleaner, а также внедряли в клиент криптовалюты Denarius.

Интересно, что в данном случае разработчики прописали для зловреда три условия, при которых он не начинает свою деятельность.

  • Если в системе запущен любой из этих процессов — ImmunityDebugger, Fiddler, Wireshark, Regshot или ProcessHacker. Все это утилиты для мониторинга системных служб, анализа HTTP-трафика, системного реестра и вредоносного ПО.
  • Если IP-адрес жертвы находится в России, Украине, Беларуси или Казахстане.
  • Если пользователь работает в виртуальной среде VMWare, VirtualBox или HyperV.

На данный момент сайт Pirate Chick VPN по-прежнему функционирует, однако программа после установки скачивает обфусцированную копию procmon.exe.

«Прежде полезной нагрузкой был троян AZORult, — пояснил Абрамс. — Однако сейчас это утилита для отслеживания активности запущенных процессов Process Monitor, которая может быть всего лишь временной заменой до запуска другой кампании».

Источник: //threatpost.ru/fake-vpn-pirate-chick-propagates-azorult/32610/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *