AZORult: un troyano que suplanta a “GoogleUpdate.exe”

Iniciado por AXCESS, Enero 28, 2019, 10:25:17 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 28, 2019, 10:25:17 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un equipo de investigación de Minerva Labs observó que, un troyano llamado AZORult, se hizo pasar por un instalador firmado de Google Update y logró, a través de persistencia, reemplazar al programa legítimo de Google en máquinas comprometidas.

AZORult es un troyano de robo de datos en constante evolución, también conocido por ser un vehículo para otros malwares, en campañas de múltiples etapas, y a gran escala, que difunden: ransomwares, y malware para robo de criptomonedas principalmente.

Por sí solo, AZORult está diseñado para filtrar la mayor cantidad de información confidencial posible: archivos, contraseñas, cookies, el historial del navegador, credenciales bancarias, carteras de criptomonedas, etc., una vez que infecta con éxito una máquina específica.

Certificado robado utilizado para firmar el falso binario de actualización de Google

Según Minerva Labs, recibieron un binario "GoogleUpdate.exe" firmado con un certificado válido, de un cliente.
Todo lo relacionado con el programa GoogleUpdate.exe apuntaba a que era un actualizador legítimo de Google, que tenía el icono correcto y que estaba firmado con un certificado no revocado.

Como de costumbre, el demonio está en los detalles al ver que, tras una inspección más cercana, se percataron que el binario se firmó con un certificado emitido para "Singh Agile Content Design Limited" en lugar de Google.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este certificado se emitió el 19 de noviembre y, desde entonces, se usó para firmar más de cien binarios, todos ellos disfrazados de ejecutables de actualización de Google.

Consigue persistencia y privilegios administrativos a través del camuflaje

Después de un análisis más profundo, el malware contenido en el binario falso de GoogleUpdate se identificó como el troyano Azorult basado en múltiples patrones: una solicitud HTTP POST a un /index.php que se hizo, usando un dominio .bit (para DNS sobre blockchain) , y empleando el agente de usuario de Mozilla / 4.0 típico, que usan todas las infecciones de Azorult.

Posteriormente, los investigadores pudieron validar su conclusión utilizando los resultados de análisis de malware obtenidos a través de Intezer y VirusTotal basándose en una muestra de malware cargada para un examen más profundo.

Además de sus hábitos comunes de robo de datos, el programa malicioso "GoogleUpdate.exe", tiene una capacidad adicional: se oculta a simple vista al camuflarse como el programa Google Update de C: \ Archivos de programa \ Google \ Update \ GoogleUpdate.exe.
Esto permitiría que el malware se ejecute con privilegios administrativos y logre persistencia utilizando un mecanismo altamente sigiloso.

Debido a que reemplaza efectivamente al programa de actualización de Google, esta variedad de Azorult puede lograr persistencia sin tener que molestarse en alterar el registro de Windows o agregar tareas programadas propias.

Lo hace mediante el secuestro de los ya creados por Google, lo que también contribuye a la eficacia de la infección, dado que los usuarios y las soluciones antimalware, les sería más difícil darse cuenta de que algo sospechoso está sucediendo con el sistema.

Como lo señala el equipo de investigación, aunque el malware camuflado como programas legítimos no es algo nuevo, esta es la primera vez que Azorult se asocia con esta técnica, otro indicio de la naturaleza en constante evolución de este troyano de robo de datos.

Como testimonio de su eficacia, Azorult se vio recientemente distribuido como una carga útil para el famoso Fallout Exploit Kit y se difundió como parte de una campaña de sextortion de múltiples etapas junto con el ransomware GandCrab.

Además, también se usó durante un ataque de phishing exitoso de alto perfil, contra docenas de servicios gubernamentales de todo el mundo, que lograron robar más de 40,000 inicios de sesión.

Fuente:
Bleepingcomputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario