Необычный образец шпионского трояна AZORult обнаружили специалисты Minerva Labs. Новый штамм зловреда маскируется под службу обновления сервисов Google и подписан действительным сертификатом. Программа заменяет легитимное приложение, запускается с правами администратора и остается в системе после перезагрузки устройства. Такая техника позволяет вредоносному скрипту не вносить изменения в реестр и оставаться малозаметным как для пользователя, так и для антивирусных сканеров.

Внимание исследователей привлек файл GoogleUpdate.exe, подписанный сертификатом безопасности компании Singh Agile Content Design Limited. Удостоверение было выпущено 19 ноября прошлого года, и с тех пор использовалось для подтверждения легитимности более чем ста фальшивых файлов обновлений. Вероятно, подпись была украдена у законного владельца или же специально выпущена для использования в криминальных кампаниях.

Специалисты идентифицировали подозрительный объект как один из вариантов трояна-шпиона AZORult. Зловред способен красть сохраненные логины и пароли, файлы cookie, историю посещений браузера, сведения о криптокошельках и прочие данные. Благодаря возможности получения файлов с командного сервера программа может быть использована для доставки другой полезной нагрузки.

Обнаруженный экземпляр вредоносной программы размещается в каталоге C:\Program Files\Google\Update поверх легитимного приложения для обновления сервисов Google и запускается вместо него как минимум дважды в день. Злоумышленникам даже не требуется вносить изменения в реестр Windows и список автозагрузки, поскольку все необходимые записи там уже существуют.

Широкому распространению AZORult способствует наличие в дарквебе бесплатного сервиса по сборке исполняемых файлов зловреда. Злоумышленники запустили специальный сайт, где любой желающий может получить готовый к использованию штамм, просто указав адрес своего командного сервера. Теневая служба генерирует AZORult 3.0 и существует благодаря добровольным пожертвованиям.

Категории: Вредоносные программы