Minerva Labs의 연구팀은 Google 업데이트로 가장하여 데이터를 침해하는 새로운 멀웨어를 발견했습니다. AZORult 악성 코드는 Google 업데이트로 위장하여 정보 도용자 역할을하는 새로운 위협으로 등장했습니다. 이 멀웨어는 손상된 시스템에서 합법적 인 Google 업데이터 프로그램을 대체 할 수도 있습니다.
멀웨어가 합법적 인 도구로 위장한 것은 이번이 처음은 아니지만 다단계 캠페인에서 다른 멀웨어 페이로드에 대한 다운로더 역할을하는 트로이 목마가있었습니다. AZORult는 암호, 검색 기록, 쿠키, 암호 화폐 지갑 코드 등과 같은 기계에서 최대의 민감한 정보를 찾고 필터링하는 기능으로 유명합니다.
또한 읽으십시오: 암호 재사용을 거부하는 이유는 무엇입니까?
AZORult는 컴퓨터에 대한 공격이 성공하면 데이터를 침해하는 악성 코드입니다. 다른 맬웨어와 마찬가지로 핵심 작업은 컴퓨터에서 가능한 한 많은 기밀 정보를 수집하는 것입니다. 이제이 악성 코드는 합법적 인 실행 파일 인 것처럼 보이기 때문에 합법적 인 프로그램이라는 착각에 빠지게하는 여러 가지 방법을 사용합니다.
위조 / 도난 인증서 : Minerva Labs의 Asaf Aprozper와 Gal Bitensky에 따르면 고객의 합법적 인 인증서로 서명 된 GoogleUpdate.exe 바이너리 파일을 받았습니다. 그러나 출시시 Minerva의 Anti-Evasion Platform에 의해 차단 된 것으로 보입니다. 확인한 결과 GoogleUpdate.exe에 대한 모든 것이 유효한 것으로 보였으며 Google의 합법적 인 업데이트 프로그램과 동일한 아이콘과 해지되지 않은 인증서를 포함하고있었습니다.
팀이 파일을 자세히 조사했을 때 해당 exe의 바이너리가 실제로 '콘텐츠 디자인'회사에서 발급 한 인증서로 서명했습니다. 구글.
Impostering을 통해 지속성 및 관리자 권한 얻기 :
악성 코드가 이미 시스템에 있었으므로 팀은 가짜 GoogleUpdate 바이너리를 포함하는 악성 코드가 실제로 AZ ORult Trojan이라는 사실을 알아 내기 위해 문제를 더 자세히 조사했습니다. 결론은 생성 된 /index.php에 대한 HTTP POST 요청을 포함하는 다양한 패턴을 기반으로했습니다. .bit 도메인 (블록 체인을 통한 DNS 용) 사용 및 모든 Azorult가 감염되는 Mozilla40 사용자 에이전트 사용 사용하다.연구원들이 설정 한 결론은 심층 분석을 위해 이전에 생성 된 맬웨어 샘플에 대한 Intezer 및 VirusTotal 맬웨어 분석 보고서에서 결과가 나온 후 나중에 검증되었습니다. 이제이 AZORult가 Google의 업데이트 프로그램을 손쉽게 대체 할 수 있으므로 Windows 레지스트리를 변경하거나 예약 된 작업을 실행할 필요없이 지속성 개인적인.
읽어야합니다 :맬웨어 공격을 방지하기 위해 Password Manager가 얼마나 중요합니까?
전반적으로 맬웨어 공격은 새로운 기술이 아니며 진지한주의가 필요합니다. 특히 기기에 기밀 및 재무 정보가 포함 된 경우. 또한 안전한 브라우징을 연습하고 이와 같은 위협을 상당한 수준까지 피할 수 있습니다. 그러나 전용 맬웨어 방지 도구를 사용하면 AZORult를 최소화 할 위험을 줄일 수 있습니다. 컴퓨터에 이러한 멀웨어가 있는지 의심 스러우면 데이터를 저장하기 위해 진단 할 때입니다. 몇 가지 팁과 요령을 공유하고 싶다면 아래에 의견을 남겨주세요.