- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
- Полиморфная компиляция;
- Расшифровка данных на стороне сервера;
- Возможность работы с более чем 40 криптокошельками;
- Автоматическое определение seed-фразы для MetaMask;
- Реализован обратный поиск для сбора паролей;
- Вредонос работает на TCP сокетах;
- Подключение к C2 происходит только один раз, во время проверки лицензии;
- Полезная нагрузка весит всего 4,2 МБ и не требует никаких зависимостей.
При запуске Aurora выполняет несколько команд через WMIC для сбора основной информации о хосте, делает снимок рабочего стола и отправляет все на C&C-сервер злоумышленников. Потом вредонос начинает искать данные, хранящиеся в различных браузерах (cookie-файлы, пароли, историю поиска, данные кредитных карт), расширениях для криптотрейдинга, приложения-криптокошельки (Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda и Jaxx Liberty) и Telegram.
Все украденные данные собираются в один JSON-файл, кодируются в base64 и отправляются на C&C-сервер злоумышленников через TCP-порты 8081 или 9865.
SEKOIA сообщает, что аналитикам не удалось найти рабочий граббер файлов, обещанный разработчиком. Однако вместо этого был найден дроппер Aurora, который использует "net_http_Get" для доставки полезной нагрузки в файловую систему под случайным именем, а затем использует PowerShell-команду для ее выполнения.
Сейчас Aurora распространяется среди жертв в основном через фишинговые сайты, которые злоумышленники пиарят через ролики на YouTube и фишинговые рассылки.
Полный список индикаторов компрометации и сайтов, использованных для распространения Aurora, можно найти в репозитории SEKOIA на GitHub.