Beveiligingsonderzoekers van ProofPoint zijn een nieuwe malware e-mailcampagne tegengekomen. Deze gebruikt een geüpdatete versie van AZORult Stealer, om ransomware te verspreiden. Europeanen zouden niet hoeven te vrezen, aangezien Noord-Amerika het doelwit is.
De onderzoekers kwamen de AZORult Credential Stealer op 18 juli tegen, een dag nadat de malware een update kreeg. Op de dag van de update werd de nieuwe versie aangeboden op een ondergronds forum. Volgens de onderzoekers is de aanval waarschijnlijk afkomstig van de “TA516”, die al sinds 2017 actief gebruikmaakt van de malware. De nieuwe campagne verstuurt e-mails met werk-gerelateerde thema’s. Denk daarbij aan sollicitaties of werkinformatieverzoeken.
In de mails is een document beschermd met wachtwoord aanwezig, waar uiteraard het kwaadaardige karakter in te vinden is. Het beschermde document is echter niet malafide, waardoor antivirusprogramma’s niets opmerken. Als het wachtwoord, dat het slachtoffer in de e-mail zelf vindt, wordt ingetypt en de gebruiker macros toestaat, dan draait het document scripts om AZORult te downloaden.
Gevaar
Voor organisaties is AZORult behoorlijk problematisch, aangezien de kwaadaardige code regelmatig geüpdatet wordt. Bovendien komt versie 3.2 met de mogelijkheid om geschiedenis van webbrowsers te stelen, meerdere cryptowallets te detecteren en system-proxies te gebruiken. Ook is er ondersteuning voor ongelimiteerde loader links, waardoor de kwaadwillende de werking ervan kan aanpassen. Zo is het bijvoorbeeld mogelijk om opdracht te geven voor het downloaden van cookies of opgeslagen wachtwoorden voor specifieke websites.
AZORult pakt het stelen van informatie en installeren van ransomware dus wat anders aan dan gebruikelijk. Beveiligingsonderzoekers van IBM zeggen hierover dat het de kans op detectie vergroot. De malware is toch interessant voor cybercriminelen, onder andere wegens de datadiefstal en ransomware. Daarnaast zijn een dag na de update duizenden e-mails gecreëerd en gedistribueerd.
6 uur geleden
