AZORult 窃密木马分析报告
2021-06-21 12:41:32 Author: www.secpulse.com(查看原文) 阅读量:163 收藏

        近日,安天 CERT 在梳理网络安全事件时发现一个名为 AZORult 的窃密木马。该窃密木马最早在 2016 年 7 月被发现,至今多次更新,主要通过钓鱼邮件和 RIG 漏洞利用工具包进行传播,目的是窃取用户凭据和帐户。

        本次分析样本是通过钓鱼邮件进行传播,邮件附件为带有密码的压缩包,诱导用户手动输入解压密码查看附件,附件解压后释放出一个含有 CVE-2017-11882 Microsoft Office 公式编辑器漏洞的 Office 文档,一旦用户执行便会连接 C2(hxxp://vektorex.com/source/Z/15603887.png) 下载最终载荷 AZORult 窃密木马。该木马运行后将自身添加到注册表实现开机自启动,AZORult 窃密木马的主要功能为窃取银行密码、***、浏览器历史记录以及数字货币等信息,将窃取的信息上传至 C2(hxxp://bixtoj.gq/sc01/index.php)。

        安天 CERT 提醒广大政企客户,应提高网络安全意识。在日常工作中及时进行系统更新和漏洞修复,不随意下载非正版的应用软件,注册机等。收发邮件时应确认收发来源是否可靠,不随意点击或者复制邮件中的网址,不轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的良好习惯。确保所有的计算机在使用远程桌面服务时避免使用弱口令,如果业务上无需使用远程桌面服务,建议将其关闭。目前,安天追影产品已经实现了对该窃密木马的鉴定;安天智甲已经实现了对该窃密木马的查杀。

2021283.png

本文作者:AntiyLabs

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/161233.html


文章来源: https://www.secpulse.com/archives/161233.html
如有侵权请联系:admin#unsafe.sh