Une nouvelle version améliorée du malware AZORult a été identifiée. La dernière version de ce programme de vol d’informations et de téléchargement de malware a déjà été utilisée dans des attaques et a été distribuée via le kit d’exploitation RIG.
Le malware AZORult est principalement un voleur d’informations utilisé pour obtenir des noms d’utilisateur et des mots de passe, des numéros de carte de crédit et d’autres informations telles que l’historique des navigateurs. Des fonctionnalités de vol de portefeuille cryptomonnaie ont été ajoutées aux nouvelles versions du malware.
AZORult a été identifié pour la première fois en 2016 par des chercheurs de Proofpoint.
Depuis, il a été utilisé dans un grand nombre d’attaques via des kits d’exploitations et de campagnes de phishing par e-mails. Celles-ci utilisaient des liens vers des sites malveillants ou, plus généralement, des fichiers Word malveillants contenant des programmes de téléchargement de malwares.
En 2016, la variante du malware était initialement installée à côté du cheval de Troie bancaire Chthonic. Mais lors des campagnes suivantes, AZORult était déployé en tant que charge utile principale du malware. Cette année, plusieurs acteurs de la menace ont associé ce voleur d’informations à une charge utile secondaire de ransomware.
D’autres campagnes ont été détectées et utilisaient Hermes et Aurora ransomware comme charges utiles secondaires. Dans les deux cas, l’objectif initial était de voler les identifiants de connexion pour perquisitionner des comptes bancaires et des portefeuilles de cryptomonnaie. Lorsque toutes les informations utiles ont été obtenues, le ransomware a été activé et un paiement de rançon a été demandé pour déchiffrer les fichiers.
Une nouvelle version de l’AZORult a été publiée en juillet 2018 : la version 3.2. Celle-ci contenait des améliorations significatives concernant à la fois son rôle de voleur et de téléchargeur d’informations.
Dernièrement, les chercheurs de Proofpoint ont encore identifié une nouvelle variante : la version 3.3. Celle-ci a déjà été ajoutée au kit d’exploitation RIG et a été publiée peu de temps après la fuite en ligne du code source de la version précédente.
La nouvelle variante utilise une méthode de chiffrement différente. Elle a amélioré la fonctionnalité de vol de cryptomonnaie pour permettre le vol de portefeuilles BitcoinGold, ElectrumG, BTCPrivate (Electrum-BTCP), Bitcore et Exodus Eden. Il s’agit d’une version mise à jour et améliorée, avec un nouveau chargeur et un taux de détection inférieur par les antivirus.
Le kit d’exploitation RIG a recours à tous les types d’attaques qui tirent parti des vulnérabilités connues d’Internet Explorer et de Flash Player et qui utilisent JavaScript et VBScripts pour télécharger AZORult.
Si vos systèmes d’exploitation et vos logiciels sont entièrement patchés et mis à jour, vous serez protégé contre ces téléchargements de kits d’exploitation, car les vulnérabilités exploitées par RIG ne sont pas nouvelles. Cependant, de nombreuses entreprises tardent à appliquer des correctifs, lesquels nécessitent des tests approfondis.
Il est donc vivement conseillé de déployer une solution de filtrage Web telle que WebTitan afin de fournir une protection supplémentaire contre les téléchargements de malwares par le kit d’exploitation. WebTitan empêche les utilisateurs finaux de visiter des sites Web malveillants, tels que ceux qui hébergent des kits d’exploitation.
La dernière version du malware AZORult a été mise en vente pour la première fois le 4 octobre. Il est fort probable que d’autres cybercriminels achèteront ce malware et le distribueront via des emails de phishing, comme ce fut le cas avec les versions précédentes. Vous feriez donc mieux de mettre en place un filtre antispam avancé et de veiller à ce que les utilisateurs finaux soient formés à la reconnaissance des messages potentiellement malveillants.