Biến thể AZORult có thể thiết lập kết nối ảnh hưởng đến máy tính để bàn
Diễn đàn - Ngày đăng : 17:13, 29/03/2019
Được quan sát thấy lần đầu tiên vào năm 2016 như một phần của chiến dịch PayPal, kể từ đó, phần mềm độc hại này đã được sử dụng trong nhiều cuộc tấn công mã độc.
AZORult được thiết kế để thu thập nhiều dữ liệu khác nhau từ những máy tính đã bị lây nhiễm và truyền dữ liệu đó tới máy chủ điều khiển và ra lệnh (Command and Control - C&C).
Nó nhắm vào lịch sử trình duyệt, thông tin đăng nhập, cookies (một dạng bản ghi được tạo ra và lưu lại trên trình duyệt khi người dùng truy cập một website), các tập tin từ những thư mục C&C, những tệp tin của ví điện tử… Ngoài ra, AZORult còn có thể tải những chương trình mã độc bổ sung trên các máy bị nhiễm.
Phiên bản C của phần mềm độc hại này được phát hiện lần đầu tiên vào tháng 3/2019, có tính năng tương tự như bản gốc, được viết bằng Delphi, nhưng xây dựng bởi các acolyte của CrydBrox, tác giả đầu tiên của AZORult, người đã quyết định dừng AZORult3.2 sau khi nó trở nên quá phổ biến.
Kasperskycho biết, phiên bản mới có tên gọi AZORult và vẫn đang trong quá trình phát triển. Đầu tiên, phiên bản mới kiểm tra ngôn ngữ ID của máy mục tiêu và dừng thực thi nếu nó xác định được là tiếng Nga, tiếng Armenia, tiếng Ailen, tiếng Bêlarut, tiếng Gruzia, tiếng Kazakhstan, tiếng Tajik, tiếng Turken.
Phần mềm độc hại không có tính năng của trình tải (loader) và cũng không hỗ trợ đánh cắp mật khẩu được lưu từ một số trình duyệt. Những tính năng này rõ ràng có trong AZORult 3.3, phiên bản cuối cùng dựa trên Delphi.
Tuy nhiên, cả hai đều sử dụng cùng một thuật toán để liên lạc với máy chủ C&C, định dạng điều khiển, cấu trúc và phương pháp lưu trữ dữ liệu thu được và các khóa mã hóa.
Để ẩn đi được, phần mềm độc hại lưu dữ liệu đánh cắp được trong RAM và không ghi nó vào đĩa cứng. Các nhà nghiên cứu bảo mật cho rằng AZORult sẽ trở nên nguy hiểm hơn so với tiền nhiệm của nó, chủ yếu bởi nó có thể thiết lập kết nối từ xa tới máy tính bị xâm hại.
Với khả năng này, nó tạo một tài khoản quản trị mới ẩn trên máy tính và thiết lập một khóa đăng ký để thiết lập kết nối RDP (Remote Desktop Protocol) cung cấp cho những kẻ tấn công toàn quyền kiểm soát máy tính.
Theo kết luận của Kaspersky: “Mặc dù còn nhiều lỗi, nhưng do khả năng thiết lập kết nối từ xa với máy tính để bàn nên phiên bản C thực sự có nhiều nguy hại hơn phiên bản trước đó. AZORult có nhiều khả năng vẫn đang trong giai đoạn phát triển, chúng tôi cho rằng tính năng của nó sẽ được mở rộng và các lỗi sẽ được loại bỏ, chưa tính đến những nỗ lực phát tán rộng rãi dưới một cái tên mà những người mua sẽ nhận ra”.