Compromised BleachBit Website Infects Users with the Data-Stealing AZORult Malware

BleachBitは、使い捨てデータを削除してディスク領域を再利用したいLinux、Windows、macOSユーザーの間でよく知られているアプリケーションです。 Sourceforgeで100万ダウンロードを超えるBleachBitは大きな勢いを増し、サイバー詐欺師はツールの巨大な人気を収益化する方法を見つけました。彼らは公式のBleachBit Webサイトの偽のコピーを作成し、それを通じてAZORultという名前の情報を盗むマルウェアの脅威を拡散しました 。

AZORultにとっては、2016年から存在し、非常にアクセスしやすいことが知られています-興味のある人は、ロシアのハッキングフォーラムで約100ドルで購入できます。保存されたログイン、ログイン資格情報、デスクトップおよびテキストファイル、閲覧データ、暗号通貨データなど、さまざまな機密性の高いユーザーデータを収集できます。この脅威は他のマルウェアのダウンローダーとしても機能しますが、最近、研究者はAZORultの亜種が感染したコンピューターに隠し管理アカウントを作成してリモートアクセスプロトコル接続を確立できることを発見しました。

サイバー詐欺師がよく利用する魅力的なWebサイト

偽のBleachBit Webサイトは、マルウェアの攻撃者がアプリの元のページに似せて設計し、その一般的なアイデアと詳細を再現しているため、魅力的に見えます。また、多くのユーザーをだます可能性があるのは、攻撃者が使用するドメイン「bleachbitcleaner [。] com」です。サイトにはいくつかの警告音もあり、経験豊富なユーザーが気付くはずです-Webサイトにはリンクが1つしかありませんが、埋め込みオンラインチュートリアルは2009年にリリースされたプログラムのベータ版用です。

偽のBleachBit Webサイトを発見した後、研究者たちはペイロード共有トレイルをファイル共有プラットフォームDropboxにたどりました。 AZORultが盗んだデータを送信するサーバーも追跡できます -「twooo [。] cn」という名前です。破損したBleachBitコピーのバイナリは、合法的なアプリと同じ名前を持っている可能性がありますが、公式のアイコンはありません。マシンにインストールされると、データを盗むものはコマンドアンドコントロールサーバーに接続して指示を取得します。研究者たちは、潜在的な犠牲者が悪意のあるBleachBitダウンロードサイトにどのように着地するのか、まだわかりません。おそらく、そのプロファイルのために検索エンジンで上位にランクされているか、攻撃者が機密データを安全に削除するトピックに関心のあるユーザーの間でサポートフォーラムに手動でプッシュします。

VirusTotalスキャンプラットフォームの多くのアンチウイルスツールは、AZORultバイナリおよびZIPアーカイブを検出できますが、検出率はまだ十分ではありません。偽のBleachBit Webサイトとは別に、AZORultはフィッシングキャンペーンやソーシャルエンジニアリング技術などの典型的なマルウェア配布チャネルも悪用します。 EmotetやRamnitなどの他のマルウェアファミリも、AZORultのダウンロードで知られています。