Аналитики компании Sekoia предупреждают, что у злоумышленников набирает популярность написанный на Go вредонос Aurora. Эта малварь ворует конфиденциальную информацию из браузеров и криптовалютных приложений, а также способна извлекать данные непосредственно с дисков и загружать дополнительные полезные нагрузки на машину жертвы.
По данным исследователей, не менее семи активных хак-групп используют исключительно Aurora, или сочетают этого вредоноса с применением Redline и Raccoon (двумя другими известными семействами малвари для кражи информации).
Судя по всему, причиной быстрого роста популярности Aurora стали низкие показатели обнаружения. К тому же вредонос предлагает преступникам расширенные функции для кражи данных и, предположительно, инфраструктурную и функциональную стабильность. Стоимость аренды малвари составляет 250 долларов в месяц или 1500 долларов за пожизненную лицензию.
Впервые появление Aurora было анонсирована в апреле 2022 года на русскоязычных хак-форумах, где малварь рекламировалась как ботнет с уникальными функциями для кражи информации и удаленного доступа. По данным компании KELA, ранее в этом году автор Aurora даже сформировал небольшую команду тестировщиков, стараясь убедиться, что «конечный продукт» получился достойным.
Позже, в августе 2022 года, исследователи Sekoia заметили, что Aurora уже рекламируется как инфостилер, то есть авторы проекта, очевидно, отказались от идеи создания многофункционального инструмента.
Основные функции Aurora, перечисленные в рекламе, таковы:
- полиморфная компиляция, не требующая криптора;
- расшифровка данных на стороне сервера;
- атаки на 40+ криптовалютных кошельков;
- автоматическая отработка seed-фраз для MetaMask
- работает на сокетах TCP;
- обращается к C&C только один раз, во время проверки лицензии;
- нативная и небольшая полезная нагрузка (4,2 МБ), не требующая зависимостей.
Исследователи говорят, что перечисленные функции в первую очередь ориентированы на скрытность, которая является основным преимуществом Aurora перед другими популярными стилерами.
Проникнув в систему, Aurora запускает несколько команд через WMIC для сбора основной информации о хосте, а затем делает скриншот рабочего стола и отправляет все это на управляющий сервер.
После малварь старается похитить данные, хранящиеся в браузерах (файлы cookie, пароли, история, банковские карты), криптовалютных расширениях для браузеров, а также десктопных криптовалютных кошельках и Telegram. В список целевых приложений входят Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda и Jaxx Liberty.
Все украденные данные объединяются в один JSON-файл с кодировкой base64 и передаются на управляющий сервер через TCP-порты 8081 или 9865.
Эксперты говорят, что им не удалось подтвердить существование работающего файл-граббера, который рекламирует автор вредоносной программы. Однако аналитики заметили загрузчик вредоносных программ, который использует net_http_Get для загрузки дополнительных пейлоадов в файловую систему со случайным именем, а затем использует PowerShell для их выполнения.
В настоящее время Aurora распространяется среди жертв самыми разными способами (что неудивительно, учитывая, что малварь используют не менее семи разных группировок). К примеру, эксперты обнаружили фишинговые сайты, связанные с криптовалютой, которые рекламируются с помощью фишинговых писем и видео на YouTube Эти сайты ссылаются на различное фейковое ПО и сайты-каталоги читов.
Полный список индикаторов компрометации и подобных сайтов, через которые распространяется Aurora, доступен на GitHub.
Источник: xakep