MALWARE INFOSTEALER AURORA CADA VEZ MAIS ADOTADO POR GANGUES CIBERNÉTICAS

 

Quer apoiar meu projeto de divulgação de noticias? Agora é possivel

Os cibercriminosos estão recorrendo cada vez mais a um novo ladrão de informações baseado em Go chamado 'Aurora' para roubar informações confidenciais de navegadores e aplicativos de criptomoeda, exfiltrar dados diretamente de discos e carregar cargas úteis adicionais.

De acordo com a empresa de segurança cibernética SEKOIA, pelo menos sete gangues cibernéticas notáveis ​​com atividade significativa adotaram Aurora exclusivamente, ou junto com Redline e Raccoon, duas outras famílias estabelecidas de malware para roubo de informações.

Cybergang ostentando o uso de Aurora ao longo da RaccoonSource: SEKOIA

A razão para esse aumento repentino na popularidade do Aurora são suas baixas taxas de detecção e status geral desconhecido, tornando menos provável que suas infecções sejam detectadas.

Simultaneamente, o Aurora oferece recursos avançados de roubo de dados e, presumivelmente, estabilidade funcional e de infraestrutura.

história da aurora

O Aurora foi anunciado pela primeira vez em abril de 2022 em fóruns de língua russa, anunciado como um projeto de botnet com recursos de acesso remoto e roubo de informações de última geração.

Como KELA relatou no início deste ano, o autor de Aurora estava procurando formar uma pequena equipe de testadores para garantir que o produto final fosse bom o suficiente.

No entanto, no final de agosto de 2022, a SEKOIA percebeu que o Aurora era anunciado como um ladrão, então o projeto abandonou seu objetivo de criar uma ferramenta multifuncional.

Os recursos de destaque listados nas postagens promocionais são:

Compilação polimórfica que não requer encapsulamento do crypter

Descriptografia de dados do lado do servidor

Tem como alvo mais de 40 carteiras de criptomoedas

Dedução automática de frase inicial para MetaMask

Pesquisa reversa para coleta de senha

Executa em soquetes TCP

Comunica-se com C2 apenas uma vez, durante a verificação da licença

Carga útil pequena totalmente nativa (4,2 MB) sem dependências

Os recursos acima são voltados para furtividade de alto nível, que é a principal vantagem do Aurora sobre outros ladrões de informações populares.

O custo para alugar o malware foi definido em US$ 250 por mês ou US$ 1.500 para uma licença vitalícia.

análise do ladrão

Após a execução, o Aurora executa vários comandos por meio do WMIC para coletar informações básicas do host, captura uma imagem da área de trabalho e envia tudo para o C2.

Comandos executados pelo Aurora no lançamentoFonte: SEKOIA

Em seguida, o malware visa dados armazenados em vários navegadores (cookies, senhas, histórico, cartões de crédito), extensões de navegador de criptomoeda, aplicativos de desktop de carteira de criptomoeda e Telegram.

Os aplicativos de carteira de desktop direcionados incluem Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda e Jaxx Liberty.

Todos os dados roubados são agrupados em um único arquivo JSON codificado em base64 e exfiltrados para o C2 por meio das portas TCP 8081 ou 9865.

A SEKOIA relata que não foi possível confirmar a existência de um capturador de arquivos em funcionamento, como o autor do malware promete.

No entanto, os analistas observaram o carregador de malware do Aurora que usa “net_http_Get” para lançar uma nova carga no sistema de arquivos usando um nome aleatório e, em seguida, usar o PowerShell para executá-lo.

A função do carregador de carga útilFonte: SEKOIA

distribuição atual

Atualmente, o Aurora é distribuído às vítimas através de vários canais, o que é de esperar tendo em conta o envolvimento de sete operadores distintos.

A SEKOIA notou sites de phishing de criptomoedas promovidos por meio de e-mails de phishing e vídeos do YouTube com links para softwares falsos e sites de catálogos de trapaças.

Um dos sites usados ​​para distribuição de malwareFonte: BleepingComputer

Para obter uma lista completa dos IoCs (indicadores de comprometimento) e sites usados ​​para distribuição do Aurora, verifique o repositório GitHub da SEKOIA.

Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/aurora-infostealer-malware-increasingly-adopted-by-cybergangs/

Fonte: https://www.bleepingcomputer.com

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #malware #infostealer #aurora #cada #vez #mais #adotado #por #gangues #cibernéticas