Una versión actualizada del software espía AZORult ha sido vista como la carga útil en una gran campaña de spam, solo un día después de su debut en la Dark Web.

AZORult roba información y puede descargar malware adicional; ha existido desde al menos el año 2016, cuando los investigadores de Proofpoint lo identificaron como parte de una infección secundaria a través del troyano bancario Chthonic. Desde entonces, se ha vuelto bastante común en una gama de ataques de malspam, pero los autores han publicado lo que los investigadores denominaron en un mensaje del lunes "una versión sustancialmente actualizada".

El código actualizado tiene una serie de mejoras sofisticadas, incluida la capacidad de robar historiales de navegadores que no son de Microsoft, un cargador condicional que verifica ciertos parámetros antes de ejecutar el malware completo; soporte para billeteras de criptomoneda Electrum-LTC Exodus, Jaxx, Mist, Ethereum, Electrum; la capacidad de usar proxies del sistema; y algunos ajustes administrativos, como la conciencia de ubicación y la capacidad de eliminar más fácilmente los informes espía que no tienen información útil.

El cargador condicional es particularmente interesante: en el panel de administración, el usuario puede especificar reglas para atacar a las víctimas para garantizar que el funcionamiento del malware sea fructífero: por ejemplo, puede verificar si ciertas cookies deseadas o contraseñas guardadas de sitios específicos están presentes en el destino máquina, o puede verificar si hay datos de billeteras de criptomonedas.

Una vez conectado al servidor C2, la máquina infectada envía cuatro informes con información: un archivo "info" contiene información básica de la computadora, como la versión de Windows y el nombre de la computadora; "pwds" contiene contraseñas robadas; "cooks" incluye cookies o sitios visitados; y "file" contiene el contenido de los archivos cookie y un archivo que contiene más información de perfil del sistema, incluyendo ID de máquina, versión de Windows, nombre de computadora, resolución de pantalla, hora local, zona horaria, modelo de CPU, CPU, RAM, información de tarjeta de video, proceso de listado de la máquina infectada y el software instalado en la máquina infectada.

"Después de la señalización inicial, la recepción de una configuración y la extracción de información robada de la máquina infectada, AZORult puede descargar la siguiente carga útil", explicaron hoy los investigadores de Proofpoint.

Los investigadores vieron la nueva versión en acción en una gran campaña de correo electrónico el 18 de julio, justo un día después de su debut en foros clandestinos. Ellos atribuyeron la campaña al actor de amenazas TA516, que tiene una especial experiencia en criptomonedas.

"[Estaba] aprovechando sus nuevas capacidades para distribuir Hermes ransomware", dijeron. "Siempre es interesante ver campañas de malware donde están presentes tanto el robo como el ransomware, ya que esto es menos común y especialmente perturbador para los destinatarios que inicialmente pueden sufrir el robo de credenciales, billeteras de criptomonedas y más antes de perder acceso a sus archivos en un ataque de ransomware posterior."

La campaña consistió en miles de mensajes dirigidos a América del Norte con un señuelo de ingeniería social desgastado: líneas de asunto relacionadas con el empleo, como "Solicitud de empleo", que pretenden tener currículos adjuntos.

Curiosamente, una infección exitosa requirió más que la cantidad habitual de interacción del usuario. En un movimiento calculado para evitar el antivirus, el usuario tendría que descargar el documento, que no se convirtió en armas hasta que la víctima ingresó una contraseña en un cuadro emergente (proporcionado en el cuerpo del correo electrónico). Después de eso, él o ella necesitarían habilitar macros para que el documento descargue AZORult, que a su vez descargó el ransomware Hermes 2.1.

Los investigadores agregaron que las implicaciones de las mejoras podrían ser considerables.

"El malware AZORult, con sus capacidades para el robo de credenciales y criptomonedas, trae posibles pérdidas financieras directas para los individuos, así como la oportunidad de que los actores establezcan una 'cabeza de playa' en las organizaciones afectadas", dijeron.

Artículos relacionados:

• SpriteCoin finge ser criptomoneda pero en realidad distribuye ransomware
• Mineros reemplazan al ransomware como la principal amenaza
• Amenazas internas y ransomware son los más temidos