• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Вредонос Aurora набирает популярность на киберпреступной арене

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Aurora – это инфостилер, который впервые засветился на русскоязычных хакерских форумах в апреле 2022 года. Изначально разработчик рекламировал его как ботнет с мощным функционалом, позволяющим красть информацию и получать удаленный доступ к системам жертвы. Однако в конце августа 2022 года исследователи из SEKOIA заметили , что Aurora рекламируют как инфостилер. Это говорит об одном – разработчик решил отказаться от создания многофункционального инструмента. Но особых фич у вредоноса все равно в достатке:
  • Полиморфная компиляция;
  • Расшифровка данных на стороне сервера;
  • Возможность работы с более чем 40 криптокошельками;
  • Автоматическое определение seed-фразы для MetaMask;
  • Реализован обратный поиск для сбора паролей;
  • Вредонос работает на TCP сокетах;
  • Подключение к C2 происходит только один раз, во время проверки лицензии;
  • Полезная нагрузка весит всего 4,2 МБ и не требует никаких зависимостей.
Как говорят специалисты, все эти функции должны сделать злоумышленника почти невидимым для систем безопасности, что является огромным преимуществом Aurora перед другими популярными инфостилерами. Цена вредоноса – $250 в месяц или $1 500 за пожизненную лицензию.

При запуске Aurora выполняет несколько команд через WMIC для сбора основной информации о хосте, делает снимок рабочего стола и отправляет все на C&C-сервер злоумышленников. Потом вредонос начинает искать данные, хранящиеся в различных браузерах (cookie-файлы, пароли, историю поиска, данные кредитных карт), расширениях для криптотрейдинга, приложения-криптокошельки (Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda и Jaxx Liberty) и Telegram.

Все украденные данные собираются в один JSON-файл, кодируются в base64 и отправляются на C&C-сервер злоумышленников через TCP-порты 8081 или 9865.

SEKOIA сообщает, что аналитикам не удалось найти рабочий граббер файлов, обещанный разработчиком. Однако вместо этого был найден дроппер Aurora, который использует "net_http_Get" для доставки полезной нагрузки в файловую систему под случайным именем, а затем использует PowerShell-команду для ее выполнения.

Сейчас Aurora распространяется среди жертв в основном через фишинговые сайты, которые злоумышленники пиарят через ролики на YouTube и фишинговые рассылки.

Полный список индикаторов компрометации и сайтов, использованных для распространения Aurora, можно найти в репозитории SEKOIA на GitHub.
 

GorilaZZ

Незнакомец
Прохожий
Регистрация
19.07.24
Сообщения
2
Онлайн
2ч 2м
Сделки
0
Нарушения
0 / 0
Приветствую. Интересует как сейчас эта софтина, функционирует ли? Какие гео покрывает?
 
Сверху