Malware AZORult

El malware AZORult (también conocido como PuffStealer y Ruzalto) es un ladrón de información y criptomonedas detectado por primera vez en 2016. Aunque AZORult no es tan sofisticado como otras cepas de malware robador o troyano, tiene capacidades de primera y segunda etapa para obtener acceso inicial y realizar actividades posteriores a la explotación, como ataques de ransomware a través de acceso remoto. Escrito por primera vez en el lenguaje de programación Delphi, fue portado a C++ en 2019 y se considera fácil de usar, lo que permite a los actores de amenazas novatos configurar y desplegar ataques.

Algunas de las funciones de AZORult se dirigen a usuarios particulares, como jugadores y propietarios de criptomonedas, robando credenciales de aplicaciones de juegos populares y escaneando sistemas comprometidos en busca de credenciales de monederos de criptomonedas. AZORult utiliza campañas que atraen a las víctimas con software comercial troyanizado; la publicidad maliciosa indica que AZORult está diseñado para dirigirse a individuos y no a organizaciones. Las campañas de Azorult en 2020 aprovecharon las actualizaciones de la pandemia COVID-19 para atacar e infectar a las víctimas. 

AZORult se vende principalmente en foros clandestinos de hackers rusos, la mayoría de los ataques con AZORult están vinculados a direcciones IP rusas y los datos robados con AZORult suelen venderse en mercados rusos de la Dark Web.

Con capacidades de primera y segunda fase, AZORult puede obtener acceso inicial o ejecutar comandos remotos en el ordenador de la víctima. Aunque se ha observado que AZORult utiliza métodos como la autenticación por fuerza bruta del protocolo de escritorio remoto (RDP), sus tácticas de acceso inicial más comunes son:

• Campañas de phishing y malspam que dirigen a los usuarios a sitios web maliciosos o a abrir archivos adjuntos de Microsoft Office con macros VBA maliciosas. 
• Ofrecer para su descarga aplicaciones pirateadas o soportes que contengan instaladores troyanizados.
• Hacerse con el control de sitios web pirateados y ofrecer a los visitantes contenidos maliciosos o redirigir a los usuarios a otros sitios controlados por atacantes.
• Anuncios maliciosos en sitios web legítimos que dirigen a los usuarios a sitios web maliciosos o les incitan a descargar e instalar aplicaciones troyanizadas.
• Falsos instaladores de aplicaciones informáticas populares ofrecidos a través de sitios de torrents o foros de la Dark Web.

Una vez que AZORult ha obtenido el acceso inicial y ejecutado su carga útil principal, caza y roba datos confidenciales de los usuarios. A continuación, se conecta a un servidor de mando y control (C2) y carga los datos robados mediante una solicitud HTTP POST estándar. Los datos robados se cifran y comprimen mediante un algoritmo PKzip ligeramente modificado para evitar que las herramientas de prevención de pérdida de datos los analicen fácilmente al salir de la red.

AZORult es capaz de atacar y robar datos y credenciales del sistema, incluyendo:

• Datos financieros, incluidos los números de tarjetas de pago
• Credenciales de autenticación de criptomoneda, incluidas las claves de monedero privado
• cachés de contraseñas de autorrelleno de navegadores de Internet y cachés de cookies que pueden contener testigos de sesión activos
• Caché del historial de navegación por Internet 
• Credenciales de autenticación de aplicaciones como Steam, Telegram, Microsoft Outlook y Skype
• Información de configuración del sistema y archivos sensibles del sistema, como credenciales RDP y VPN.
• Capturas de pantalla del escritorio de un sistema infectado

Las versiones más recientes de AZORult utilizan técnicas de inyección de procesos (también conocidas como vaciado de procesos) y living-off-the-land (LOTL) para evitar ser detectadas por las herramientas de seguridad. Esto significa que el malware secuestra procesos legítimos y utiliza herramientas preinstaladas en sistemas Windows para lograr sus objetivos.

Diferentes versiones de AZORult utilizan diversas tácticas para mantener su persistencia. Sin embargo, un método novedoso y sigiloso utilizado por Azorult es sustituir el componente de actualización del navegador Chrome GoogleUpdate.exe por su propio ejecutable malicioso. Esto garantiza que el código del atacante se ejecute cuando Google Chrome busque actualizaciones. Aunque esta táctica no ejecuta el malware de forma fiable inmediatamente después de reiniciar el sistema, oculta eficazmente el método de persistencia del malware.

• Imponer la autenticación multifactor para todos los servicios críticos, especialmente los asociados a la banca en línea y las cuentas de criptomoneda.
• Asegúrese de que sólo se instala software autorizado y firmado digitalmente en todos los terminales; analice periódicamente y bloquee la ejecución de cualquier software no autorizado.
• Utilizar un proxy de contenidos para supervisar el uso de Internet y restringir el acceso de los usuarios a sitios sospechosos o de riesgo.
• Considere la formación de los usuarios y manténgase al día sobre las técnicas de phishing; desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
• Asegúrese de que las aplicaciones de Office están configuradas para desactivar todas las macros sin notificación o desactivar todas las macros excepto las firmadas digitalmente.
• Preste especial atención a las notificaciones de advertencia de los clientes de correo electrónico y las aplicaciones de Office que le avisan de contextos sospechosos, como archivos que no han sido analizados en busca de malware o que contienen macros VBA.