Trojan AZORult został zaobserwowany przez zespół badawczy Minevra Labs. Szkodliwe oprogramowanie podszywa się pod instalator Google Update całkowicie go zastępując.

AZORult to stale rozwijający się trojan kradnący dane, znany również jako narzędzie do pobierania innych szkodliwych plików. Bywał już wielokrotnie wykorzystywany do wieloetapowych kampanii w celu rozpowszechnienia oprogramowania szyfrującego oraz kradzieży danych. Trojan ma na celu eksfiltrację jak największej ilości informacji poufnych, począwszy od plików, haseł, plików cookie i historii przeglądarek, a skończywszy na bankach i portfelach kryptowalutowych.

Badacze z Minerva Labs otrzymali plik binarny GoogleUpdate.exe od klienta, który został zablokowany przez autorską platformę Anti-Evasion. Dane dotyczące programu wskazywały na to, że jest to poprawny aktualizator od Google, posiadający odpowiednią ikonę i podpisany za pomocą certyfikatu. Po bliższej analizie badacze byli w stanie wykryć, że plik binarny został faktycznie podpisany certyfikatem wydanym dla “Singh Agile Content Design Limited” zamiast Google. Ten certyfikat został wydany 19 listopada i od tego czasu był użyty do podpisania ponad stu plików binarnych, z których wszystkie były zamaskowane jako plik wykonywalny GoogleUpdate.

Więcej informacji: https://www.bleepingcomputer.com/news/security/azorult-trojan-steals-passwords-while-hiding-as-google-update/