Аналитики компании Sekoia предупреждают, что у злоумышленников набирает популярность написанный на Go вредонос Aurora. Эта малварь ворует конфиденциальную информацию из браузеров и криптовалютных приложений, а также способна извлекать данные непосредственно с дисков и загружать дополнительные полезные нагрузки на машину жертвы.

По данным исследователей, не менее семи активных хак-групп используют исключительно Aurora, или сочетают этого вредоноса с применением Redline и Raccoon (двумя другими известными семействами малвари для кражи информации).

Реклама Raccoon и Aurora

Судя по всему, причиной быстрого роста популярности Aurora стали низкие показатели обнаружения. К тому же вредонос предлагает преступникам расширенные функции для кражи данных и, предположительно, инфраструктурную и функциональную стабильность. Стоимость аренды малвари составляет 250 долларов в месяц или 1500 долларов за пожизненную лицензию.

Впервые появление Aurora было анонсирована в апреле 2022 года на русскоязычных хак-форумах, где малварь рекламировалась как ботнет с уникальными функциями для кражи информации и удаленного доступа. По данным компании KELA, ранее в этом году автор Aurora даже сформировал небольшую команду тестировщиков, стараясь убедиться, что «конечный продукт» получился достойным.

Позже, в августе 2022 года, исследователи Sekoia заметили, что Aurora уже рекламируется как инфостилер, то есть авторы проекта, очевидно, отказались от идеи создания многофункционального инструмента.

Основные функции Aurora, перечисленные в рекламе, таковы:

  • полиморфная компиляция, не требующая криптора;
  • расшифровка данных на стороне сервера;
  • атаки на 40+ криптовалютных кошельков;
  • автоматическая отработка seed-фраз для MetaMask
  • работает на сокетах TCP;
  • обращается к C&C только один раз, во время проверки лицензии;
  • нативная и небольшая полезная нагрузка (4,2 МБ), не требующая зависимостей.

Исследователи говорят, что перечисленные функции в первую очередь ориентированы на скрытность, которая является основным преимуществом Aurora перед другими популярными стилерами.

Проникнув в систему, Aurora запускает несколько команд через WMIC для сбора основной информации о хосте, а затем делает скриншот рабочего стола и отправляет все это на управляющий сервер.

После малварь старается похитить данные, хранящиеся в браузерах (файлы cookie, пароли, история, банковские карты), криптовалютных расширениях для браузеров, а также десктопных криптовалютных кошельках и Telegram. В список целевых приложений входят Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda и Jaxx Liberty.

Все украденные данные объединяются в один JSON-файл с кодировкой base64 и передаются на управляющий сервер через TCP-порты 8081 или 9865.

Эксперты говорят, что им не удалось подтвердить существование работающего файл-граббера, который рекламирует автор вредоносной программы. Однако аналитики заметили загрузчик вредоносных программ, который использует net_http_Get для загрузки дополнительных пейлоадов в файловую систему со случайным именем, а затем использует PowerShell для их выполнения.

В настоящее время Aurora распространяется среди жертв самыми разными способами (что неудивительно, учитывая, что малварь используют не менее семи разных группировок). К примеру, эксперты обнаружили фишинговые сайты, связанные с криптовалютой, которые рекламируются с помощью фишинговых писем и видео на YouTube Эти сайты ссылаются на различное фейковое ПО и сайты-каталоги читов.

Полный список индикаторов компрометации и подобных сайтов, через которые распространяется Aurora, доступен на GitHub.

Источник: xakep