Malware AZORult

O malware AZORult (também conhecido como PuffStealer e Ruzalto) é um ladrão de informações e criptomoedas detectado pela primeira vez em 2016. Embora o AZORult não seja tão sofisticado quanto outras linhagens de malware de roubo ou trojan, ele tem recursos de primeiro e segundo estágios para obter acesso inicial e realizar atividades pós-exploração, como ataques de ransomware por meio de acesso remoto. Inicialmente escrito na linguagem de programação Delphi, ele foi portado para C++ em 2019 e é considerado fácil de usar, permitindo que agentes de ameaças novatos configurem e implementem ataques.

Alguns dos recursos do AZORult têm como alvo os usuários consumidores, como jogadores e proprietários de criptomoedas, roubando credenciais de aplicativos populares de jogos e examinando sistemas comprometidos em busca de credenciais de carteiras de criptomoedas. O AZORult usa campanhas que atraem as vítimas com software comercial trojanizado; o malvertising indica que o AZORult foi projetado para atingir indivíduos em vez de organizações. As campanhas do Azorult em 2020 aproveitaram as atualizações da pandemia da COVID-19 para atingir e infectar as vítimas. 

O AZORult é vendido principalmente em fóruns de hackers clandestinos russos, a maioria dos ataques do AZORult está vinculada a endereços IP russos e os dados roubados com o AZORult são normalmente vendidos nos mercados russos da Dark Web.

Com recursos de primeiro e segundo estágios, o AZORult pode obter acesso inicial ou executar comandos remotos no computador da vítima. Embora o AZORult tenha sido observado usando métodos como a força bruta de autenticação do protocolo de área de trabalho remota (RDP), suas táticas de acesso inicial mais comuns são:

• Campanhas de phishing e malspam que direcionam os usuários para sites maliciosos ou para abrir anexos do Microsoft Office com macros VBA maliciosas 
• Oferecer aplicativos piratas ou mídia contendo instaladores trojanizados para download
• Assumir o controle de sites invadidos e fornecer aos visitantes conteúdo malicioso ou redirecionar os usuários para outros sites controlados por invasores
• Malvertisements em sites legítimos que direcionam os usuários para sites maliciosos ou induzem os usuários a fazer download e instalar aplicativos trojanizados
• Instaladores falsos de aplicativos de software populares oferecidos em sites de torrent ou fóruns da Dark Web

Depois que o AZORult obtém acesso inicial e executa sua carga útil principal, ele caça e rouba dados confidenciais do usuário. Em seguida, ele se conecta a um servidor de comando e controle (C2) e faz o upload dos dados roubados por meio de uma solicitação HTTP POST padrão. Os dados roubados são criptografados e compactados usando um algoritmo PKzip ligeiramente modificado para evitar que os dados roubados sejam facilmente analisados por ferramentas de Prevenção contra Perda de Dados ao saírem da rede.

O AZORult é capaz de direcionar e roubar dados e credenciais do sistema, incluindo:

• Dados financeiros, incluindo números de cartões de pagamento
• Credenciais de autenticação de criptomoeda, incluindo chaves de carteira privada
• Caches de senha de preenchimento automático do navegador da Internet e caches de cookies que podem conter tokens de sessão ativos
• Cache do histórico de navegação na Internet 
• Credenciais de autenticação de aplicativos como Steam, Telegram, Microsoft Outlook e Skype
• Informações de configuração do sistema e arquivos confidenciais do sistema, como credenciais de RDP e VPN
• Capturas de tela da área de trabalho de um sistema infectado

As versões recentes do AZORult usam técnicas de injeção de processos (também conhecidas como process hollowing) e living-off-the-land (LOTL) para evitar a detecção por ferramentas de segurança. Isso significa que o malware seqüestra processos legítimos e usa ferramentas pré-instaladas existentes nos sistemas Windows para atingir seus objetivos.

Diferentes versões do AZORult usam várias táticas para manter a persistência. Ainda assim, um método novo e furtivo usado pelo Azorult é substituir o componente de atualização do navegador Chrome, o GoogleUpdate.exe, por seu próprio executável malicioso. Isso garante que o código do invasor seja executado quando o Google Chrome verifica se há atualizações. Embora essa tática não execute o malware de forma confiável imediatamente após a reinicialização do sistema, ela oculta de forma eficaz o método de persistência do malware.

• Imponha a autenticação multifator para todos os serviços essenciais, especialmente aqueles associados a contas bancárias on-line e de criptomoedas
• Garanta que somente software autorizado e assinado digitalmente seja instalado em todos os endpoints; faça varreduras regulares para detectar e bloquear a execução de qualquer software não autorizado.
• Use um proxy de conteúdo para monitorar o uso da Internet e restringir o acesso do usuário a sites suspeitos ou de risco
• Considere o treinamento de conscientização do usuário e mantenha-se atualizado sobre as técnicas de phishing; desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos.
• Verifique se os aplicativos do Office estão configurados para desativar todas as macros sem notificação ou desativar todas as configurações de macros, exceto as assinadas digitalmente
• Preste atenção especial às notificações de aviso em clientes de e-mail e aplicativos do Office que o alertam sobre contextos suspeitos, como arquivos que não foram verificados quanto a malware ou que contêm macros VBA