Il sito Web BleachBit compromesso infetta gli utenti con il malware AZORult che ruba i dati

BleachBit è un'applicazione ben nota tra gli utenti Linux, Windows e macOS che desiderano recuperare spazio su disco eliminando i dati disponibili. Con oltre un milione di download su Sourceforge, BleachBit ha guadagnato un notevole slancio, mentre i cyber criminali hanno trovato il modo di monetizzare l'enorme popolarità dello strumento. Hanno creato una copia falsa del sito Web ufficiale BleachBit attraverso il quale hanno diffuso una minaccia di malware che ruba informazioni di nome AZORult .

Per AZORult, è noto che esiste dal 2016 e che è abbastanza accessibile: chi è interessato potrebbe acquistarlo per circa $ 100 sui forum di hacking russi. È in grado di raccogliere un'ampia varietà di dati sensibili dell'utente, come accessi salvati, credenziali di accesso, file desktop e di testo, dati di navigazione, dati di criptovaluta e molti altri. La minaccia può anche fungere da downloader per altri malware, mentre i ricercatori hanno recentemente scoperto che una variante di AZORult può creare un account amministratore nascosto su computer infetti per stabilire una connessione con il protocollo di accesso remoto.

Siti Web accattivanti spesso sfruttati dai criminali informatici

Il sito Web BleachBit falso sembra accattivante poiché gli attori del malware lo hanno progettato per assomigliare alla pagina originale dell'app, ricreando le idee e i dettagli generali. Ciò che può anche ingannare molti utenti è il dominio che gli aggressori usano: "bleachbitcleaner [.] Com". Sul sito sono presenti anche alcuni campanelli d'allarme che gli utenti più esperti dovrebbero essere in grado di notare: sul sito Web è disponibile un solo link, mentre il tutorial online incorporato è per una versione beta del programma rilasciata nel 2009.

Dopo aver scoperto il falso sito Web BleachBit, i ricercatori hanno rintracciato la traccia del payload sulla piattaforma di condivisione file Dropbox. Il server a cui AZORult invia i dati rubati potrebbe anche essere rintracciato - è chiamato "twooo [.] Cn". Il file binario della copia danneggiata di BleachBit potrebbe avere lo stesso nome dell'app legittima, ma manca l'icona ufficiale. Una volta installato su una macchina, il ladro di dati contatta il suo server Command-and-Control per ottenere istruzioni. I ricercatori non sono ancora sicuri di come le potenziali vittime approdino sul sito di download dannoso di BleachBit. Probabilmente, si classifica in alto nei motori di ricerca grazie al suo profilo, o gli aggressori lo spingono manualmente nei forum di supporto tra gli utenti che sono interessati all'argomento della cancellazione sicura dei dati sensibili.

Molti strumenti antivirus sulla piattaforma di scansione VirusTotal sono in grado di rilevare l'archivio binario e ZIP AZORult, sebbene le percentuali di rilevamento non siano ancora abbastanza elevate. Oltre al falso sito Web BleachBit, AZORult sfrutta anche i tipici canali di distribuzione di malware come campagne di phishing e tecniche di social engineering. Altre famiglie di malware come Emotet e Ramnit sono note anche per il download di AZORult.