Разработчики похитителя информации Azorult ввели в строй теневой сервис Gazorp, позволяющий самостоятельно генерировать вредоносные бинарные коды. По словам экспертов Check Point, опробовавших услугу, онлайн-доступ к системе сборки зловреда осуществляется на безвозмездной основе.

«Злоумышленники обрели возможность создавать новые образцы Azorult и серверный код для управления ими, — пишут исследователи в отчете о находке. — Сборщику нужен лишь адрес C&C, который он вшивает в новый бинарник — и тот готов для распространения любым способом». В Check Point провели «тест-драйв» и признали, что сервис Gazorp работает, как обещано, исправно генерируя экземпляры Azorult версии 3.0.

Коммерческий зловред Azorult предназначен для кражи конфиденциальной информации: паролей к различным аккаунтам, данных кредитных карт, криптокошельков и т. п. Он умеет также загружать дополнительные файлы и нередко доставляется жертве с помощью других вредоносных программ. Так, в 2016 году исследователи из Proofpoint обнаружили активную кампанию по распространению банковского трояна Chthonic, который в качестве «бонуса» подгружал на машину Azorult.

Третья версия зловреда появилась полгода назад и с тех пор дважды получала существенное обновление. Тем не менее, Azorult 3.0 до сих пор можно встретить в реальных атаках: по свидетельству Check Point, он обладает широкими возможностями кражи информации, которую впоследствии можно использовать для реализации мошеннических схем.

Пару месяцев назад код панели управления Azorult был выложен на Github. Операторы платформы Gazorp, согласно рекламе, обещают клиентам многочисленные усовершенствования и дополнения в сравнении со слитым C&C-кодом — в частности, возможность отслеживать заражения в разных странах по теплокарте.

К совершенствованию Azorult-сервиса активно привлекается все хакерское сообщество; у Gazorp есть собственный канал Telegram, по которому распространяются новости проекта и свежие идеи, возникшие у заинтересованных сторон. «В настоящее время сервис Gazorp представлен в своей первоначальной версии (0.1), его основным продуктом, по всей видимости, является усовершенствованный код C&C-панели Azorult, — констатируют исследователи. — Тем не менее, в дальнейшем проект может получить развитие и на нем появятся новые вариации Azorult».

Пока Gazorp существует за счет добровольных пожертвований и бесплатен, что сильно снижает планку для потенциальных преступников. «Поскольку предоставляемые услуги бесплатны, можно ожидать рост активности злоумышленников и новые кампании, использующие бинарные коды, созданные с помощью Gazorp», — заключили эксперты.

Категории: Вредоносные программы