Cazando Malware 1 | Malicious: AZORult

Malicious: AZORult

 
AZORult es un malware troyano que recolecta y exfiltra datos del sistema comprometido. Se instala en un sistema a través de un malware de primera etapa, como Seamless. El malware busca la siguiente información y la envía a su servidor C2:

Contraseñas guardadas, como las de los navegadores, servidores de correo electrónico y FTP;
Cookies de navegadores y formularios, incluido el autocompletado;
archivos wallet.dat de clientes de bitcoin populares;
  • Historial de mensajes de Skype;
  • Archivos del historial de chat;
  • Archivos de escritorio;
  • Archivos con extensiones especificadas desde el escritorio y archivos en carpetas;
  • Lista de programas instalados;
  • Lista de procesos en ejecución; y Nombre de usuario, nombre de computadora y tipo de sistema operativo.

El sitio malicioso

Teniendo en cuenta lo que es el bicho ZORult, encontramos un sitio web/servidor el cual puede tener función de C&C.

[*] URL [ http://richer.ac.ug/ip1h2io3h1oi2/admin.php ]

El sitio no muestra mas nada que un simple inicio de sesión, como si fuera un backdoor web.


Recopilación de Información

Lo primero fue analizar el código HTML del sitio malicioso, el cual no tiene nada de especial.


Después de ver que el sitio no tenia nada, en su HTML, pase a revisar el sitio en la pagina de URLQuery, un sitio el cual  [ http://urlquery.net ] es un servicio para detectar y analizar el malware basado en la web. Proporciona información detallada sobre las actividades que realiza un navegador mientras visita un sitio y presenta la información para un análisis más detallado.

La IP [ 95.213.224.247 ] y sabemos que es de Rusia, lo curioso es que no detecto ningún tipo de alerta del sitio, algo un tanto interesante, algo que también puede ser curioso es que algunos scanners de malware, no detectan nada de nada.



Aunque si existe, en algunas, BlackList, como la de Fortinet, BitDefender, SORBSSpam,
Spamhaus ZEN, etc.






Dentro de la mayoría de reportes, destaco que en el ASN, tiene varios reportes, los cuales en su mayoría son de malware.


Posiblemente la URL [ http://mypromo.online/unupdate.exe ] almacene el .exe de infeccion del malware AZORult, aunque VirusTotal en su reporte no indica el tipo de malware, 10 antivirus web lo detectan como potencialmente peligroso.


Otra de las cosas interesantes, que descubrimos, fue que al analizar  el dominio (whois) encontramos una persona de contacto en el apartado de registro, esta persona también esta como contacto de soporte técnico y administrativo. 

Registrant Contact Information: 

Registrant Name: Harrison Almaa INTERESANTE
Registrant Organization: Marakuya
INTERESANTE
Registrant Country: Uganda
Registrant State / Province: USA
Registrant City: Denver
Registrant Address: 24 Broadway #102
Registrant Postal Code: 80203
Registrant Phone: (720) 479-8505 
INTERESANTE 
Registrant Email: contme.lq34.envj@gmail.com INTERESANTE


Como podemos observar, existe una compañía llamada Marakuya (xD) un correo electrónico y un numero de teléfono. Puede que esta información sea falsa.


Los sitios donde "investigue" el sitio malicioso los puedes encontrar listados en el post de Herramientas Online para analizar sitios web potencialmente maliciosos.

 

Publicar un comentario

0 Comentarios

Slider Parnert

Subscribe Text

¿Quieres estar al día con noticias?