Троян AZORult использует подделки под Google Docs для распространения через фишинг

Netskope Threat Labs выявила новую кампанию, в ходе которой используются фишинговые страницы Google Sites для распространения инфостилера AZORult. Фишинговая кампания пока не связана с каким-либо конкретным злоумышленником или группой, она направлена на сбор чувствительных данных для последующей продажи в даркнете, пишут в Securitylab.

AZORult (также известный как PuffStealer и Ruzalto) — это вредоносная программа для кражи информации, впервые обнаруженная в 2016 году. Распространяется через фишинг, заражённые установщики пиратского ПО, поддельные читы для игр, а также через мошенническую рекламу.

После установки AZORult собирает учётные данные, куки и историю браузеров, скриншоты, документы с определёнными расширениями (TXT, DOC, XLS, DOCX, XLSX, AXX и KDBX), а также данные из 137 криптовалютных кошельков. Файлы AXX — это зашифрованные файлы, созданные AxCrypt, а KDBX — это база данных паролей, созданная менеджером паролей KeePass.

В обнаруженной атаке злоумышленники через Google Sites создали поддельные страницы Google Docs, которые затем используют технику HTML Smuggling для доставки вредоносного кода. Такой метод позволяет обойти стандартные меры безопасности, в том числе шлюзы электронной почты, которые обычно проверяют наличие подозрительных вложений.

В кампании также используется CAPTCHA, которая не только придает правдоподобности, но и служит дополнительным слоем защиты от сканеров URL.

Скачанный вредоносный файл представляет собой ярлык Windows, который маскируется под выписку по счету в банке в формате PDF. Запуск ярлыка инициирует серию действий по выполнению промежуточных скриптов и скриптов PowerShell с уже скомпрометированного домена.