暗网出现新Gazorp组织免费构建恶意软件Azorult 可窃取用户数据
9月17日,Check Point Research在暗网上发现了一个名为“Gazorp”的新在线构建器。
Gazorp旨在构建流行恶意软件Azorult的二进制文件,Azorult会窃取用户密码、信用卡信息、加密货币相关数据等信息。
此外,Gazorp的服务是免费的,攻击者只需要提供命令和控制(C&C)地址就可以创建新的Azorult样本和相应面板服务器的代码。该地址嵌入到新创建的二进制文件中,攻击者可任意分发这些二进制文件。
Check Point Research对构建的恶意软件分析表明:
Gazorp有效地生成了五个月前发布的Azorult 3.0版的样本,并于五个月前发布。从那之后,该恶意软件被更新了两次,后续版本3.1和3.2被观察到在野外发布,这使得Gazorp构建的Azorult 3.0版过时。
即便如此,Azorult 3.0版具有多种窃取功能,任何参与者都可以利用这些功能来收集受害者信息并滥用它(包含对恶意软件C2面板代码的多次升级和增强)。
Gazorp发布的时机
Gazorp的发布时间是一件有意思的事。它在暗网上出现之前是通过Azorult面板代码泄漏(对于版本3.1和3.2)。实际上,这种泄漏允许任何想要主持Azorult C&C面板的人,能够以合理的低成本完成这项工作。泄漏还包含最新版恶意软件的构建器,它似乎不是其作者使用的原始版本。
相反,它只是编码并将C&C地址字符串作为参数提供给用户,作为现成二进制文件中的特定字段。因此,向公众的整体传递的简单机制和最新版本有可能激发Gazorp的作者在线介绍它。
另一点需要注意的是,在线构建器链接到Telegram频道,其中创建者的活动对公众可见。参与的人可以获得项目的更新,并提出自己的改进意见。
此外,Gazorp作者鼓励用户通过向特定比特币钱包发放交易来向他们的项目捐款,这似乎是将Gazorp货币化的唯一方式(因为它的使用是完全免费的)。作为回报,他们声称,用户将从他们身边更多开发和升级中受益(或者用他们自己的话说 - “更多捐赠,更多更新”)。
(Gazorp在暗网上的页面)
上面构建器页面中的第一段指定了希望使用它的任何用户需要采取的简单操作。它转换为以下内容:
1. 指定窃取者将报告的域;
2. 下载包含构建,手册和面板的存档;
3. 安装面板,部署构建;
4. 工作$$$ 。
此外,Gazorp作者还试图描述他们引入恶意软件面板的增强功能,作为在此项目中提供的最重要价值。Azorult版本3面板也在过去泄露,并上传到Github,为骗子和网络犯罪分子提供了滥用机会。
Gazorp作者指出,对面板的更改包括多个漏洞和错误修复,更好的性能,可视化增强功能和各种新功能。实际上,如果为两个面板区分源代码树,可以看到Gazorp中的主要差异和增加。
(Gazorp和Azorult v3面板之间的代码树差异。黑色方块表示Azorult树中缺少的代码目录。)
实际上,Gazorp的面板看起来远不如承诺那么诱人。与Azorult v3相比,主要统计页面看起来相当沉闷,其对应的主要改进是全局堆映射,它按照Azorult面板中无法访问的方式按国家/地区提供统计信息。
(Gazorp的主面板菜单,带有新的全局统计功能。)
(Azorult版本3主面板菜单)
除了建议的修改之外,未来还有许多承诺的功能。例如,Gazorp作者合并了一个“模块”部分,该部分暗示了使用新功能扩展Azorult的能力,但尚未实现。它们还提供更多随意面板功能,例如配置面板和将各种数据库导出到文件的功能。这些还没有提供,预计随着项目的发展而增加。
(计划面板功能)
使用Azorult v3.0二进制文件
如前所述,Gazorp似乎生成了Azorult的v3.0二进制文件的副本。
由Gazorp生产的这个版本的Azorult可以通过几个显着的特征来识别:
1、每个版本的Azorult都有一个独特的互斥锁,恶意软件在执行开始时会创建该互斥锁。
Azorult v3.0特别创建了一个互斥名称,它是当前用户(A-admin,U-user,S-system,G-guest)和字符串“d48qw4d6wq84d56as”权限的串联。
(Azorult v3.0和Gazorp互斥锁以及C2服务器名称。)
2、Azorult使用简单的XOR方法加密与C2服务器的连接,并在文件中使用密钥硬编码。每个版本的Azorult都有不同的密钥。
(Gazorp和Azorult 3.0连接方法和密钥。)
3、来自C2服务器的解密返回消息由标签组成。在3.0版中,返回的消息具有以下标记:
<c> configuration_data </ c>
<S> Sqlite3_file </ S>
<Z> zip_functions_file </ Z>
<d> names_of_softwares_to_steal_credentials_from </ d>。
使用Base64解码标签之间的值。
(Azorult v3.0和Gazorp通过标签解释收到的C2消息。)
结语
Check Point Research表示:
目前,我们似乎正在研究Gazorp服务的早期版本(0.1),其中提供的主要产品是增强的Azorult C&C面板代码。但是,我们确实希望该项目能够随着时间的推移而发展,并可能为Azorult生成新的变体。
鉴于该服务是免费的,Gazorp建立二进制文件的新活动也有可能在野外开始出现更高规模。我们将继续监控此威胁,并在我们的研究博客上提供见解。
参考来源:
checkpoint
- End -
往期热门资讯:
扫描二维码,获得更多新鲜资讯!