Троян AZORult крадет пароли под видом приложения Google Update

0

Троян AZORult крадет пароли под видом приложения Google Update

Маскируясь под Google Update, вредонос может работать с правами администратора.


Специалисты компании Minerva Labs заметили вариант трояна AZORult, который маскируется под приложение Google Update и заменяет официальную программу вредоносной версией.

AZORult представляет собой инфостилер, который также может действовать как загрузчик для другого вредоносного ПО. Троян предназначен для кражи как можно большего объема конфиденциальной информации: от файлов, паролей, cookie-файлов и истории посещения в браузере до банковских учетных данных и криптовалютных кошельков пользователей.

Исследователи получили от одного из своих клиентов на первый взгляд легитимный исполняемый файл GoogleUpdate.exe, подписанный действительной цифровой подписью. Как оказалось при ближайшем рассмотрении, на самом деле файл был подписан сертификатом, выданным компании “Singh Agile Content Design Limited” вместо Google. Сертификат был выдан 19 ноября минувшего года и на протяжении прошедшего периода использовался для подписи более чем сотни исполняемых файлов, причем все они были замаскированы под Google Update.

В ходе анализа специалисты смогли идентифицировать вредонос в фальшивом файле Google Update как троян AZORult на основе нескольких признаков: отправка запроса HTTP POST к /index.php с домена в альтернативной зоне .bit и использование Mozilla/4.0 User-Agent.

Помимо основного функционала, новый вариант AZORult обладает дополнительной возможностью маскироваться под программу Google Updater (C:Program FilesGoogleUpdateGoogleUpdate.exe). Таким образом вредонос может работать с привилегиями администратора и сохранять присутствие на системе без необходимости модификации реестра Windows или добавления задач в планировщик.