Malicious: AZORult
AZORult es un malware troyano que recolecta y exfiltra datos del sistema comprometido. Se instala en un sistema a través de un malware de primera etapa, como Seamless. El malware busca la siguiente información y la envía a su servidor C2:
Contraseñas guardadas, como las de los navegadores, servidores de correo electrónico y FTP;
Cookies de navegadores y formularios, incluido el autocompletado;
archivos wallet.dat de clientes de bitcoin populares;
Contraseñas guardadas, como las de los navegadores, servidores de correo electrónico y FTP;
Cookies de navegadores y formularios, incluido el autocompletado;
archivos wallet.dat de clientes de bitcoin populares;
- Historial de mensajes de Skype;
- Archivos del historial de chat;
- Archivos de escritorio;
- Archivos con extensiones especificadas desde el escritorio y archivos en carpetas;
- Lista de programas instalados;
- Lista de procesos en ejecución; y Nombre de usuario, nombre de computadora y tipo de sistema operativo.
El sitio malicioso
Teniendo en cuenta lo que es el bicho ZORult, encontramos un sitio web/servidor el cual puede tener función de C&C.[*] URL [ http://richer.ac.ug/ip1h2io3h1oi2/admin.php ]
Recopilación de Información
Lo primero fue analizar el código HTML del sitio malicioso, el cual no tiene nada de especial.
Después de ver que el sitio no tenia nada, en su HTML, pase a revisar el sitio en la pagina de URLQuery, un sitio el cual [ http://urlquery.net ] es un servicio para detectar y analizar el malware basado en la web. Proporciona información detallada sobre las actividades que realiza un navegador mientras visita un sitio y presenta la información para un análisis más detallado.
La IP [ 95.213.224.247 ] y sabemos que es de Rusia, lo curioso es que no detecto ningún tipo de alerta del sitio, algo un tanto interesante, algo que también puede ser curioso es que algunos scanners de malware, no detectan nada de nada.
Aunque si existe, en algunas, BlackList, como la de Fortinet, BitDefender, SORBSSpam,
Spamhaus ZEN, etc.
Spamhaus ZEN, etc.
Dentro de la mayoría de reportes, destaco que en el ASN, tiene varios reportes, los cuales en su mayoría son de malware.
Posiblemente la URL [ http://mypromo.online/unupdate.exe ] almacene el .exe de infeccion del malware AZORult, aunque VirusTotal en su reporte no indica el tipo de malware, 10 antivirus web lo detectan como potencialmente peligroso.
Otra de las cosas interesantes, que descubrimos, fue que al analizar el dominio (whois) encontramos una persona de contacto en el apartado de registro, esta persona también esta como contacto de soporte técnico y administrativo.
Registrant Contact Information:
Registrant Name: Harrison Almaa INTERESANTE
Registrant Organization: Marakuya INTERESANTE
Registrant Country: Uganda
Registrant State / Province: USA
Registrant City: Denver
Registrant Address: 24 Broadway #102
Registrant Postal Code: 80203
Registrant Phone: (720) 479-8505 INTERESANTE
Registrant State / Province: USA
Registrant City: Denver
Registrant Address: 24 Broadway #102
Registrant Postal Code: 80203
Registrant Phone: (720) 479-8505 INTERESANTE
Registrant Email: contme.lq34.envj@gmail.com INTERESANTE
Como podemos observar, existe una compañía llamada Marakuya (xD) un correo electrónico y un numero de teléfono. Puede que esta información sea falsa.
Los sitios donde "investigue" el sitio malicioso los puedes encontrar listados en el post de Herramientas Online para analizar sitios web potencialmente maliciosos.
0 Comentarios