Site comprometido da BleachBit infecta usuários com malware AZORult de roubo de dados
O BleachBit é um aplicativo conhecido entre usuários de Linux, Windows e macOS que desejam recuperar espaço em disco excluindo dados descartáveis. Com mais de um milhão de downloads no Sourceforge, o BleachBit ganhou um impulso significativo, enquanto os cibercriminosos descobriram uma maneira de monetizar a enorme popularidade da ferramenta. Eles criaram uma cópia falsa do site oficial da BleachBit, através do qual espalharam uma ameaça de malware que rouba informações, chamada AZORult .
Para o AZORult, sabe-se que existe desde 2016 e que é bastante acessível - os interessados podem comprá-lo por cerca de US $ 100 nos fóruns de hackers russos. Ele é capaz de coletar uma ampla variedade de dados confidenciais do usuário, como logons salvos, credenciais de logon, arquivos da área de trabalho e de texto, dados de navegação, dados de criptomoeda e muito mais. A ameaça também pode atuar como um downloader de outros malwares, enquanto pesquisadores descobriram recentemente que uma variante do AZORult pode criar uma conta de administrador oculta nos computadores infectados para estabelecer uma conexão com o Protocolo de Acesso Remoto.
Sites atraentes frequentemente aproveitados por criminosos cibernéticos
O site falso do BleachBit parece atraente quando os atores do malware o projetaram para se parecer com a página original do aplicativo, recriando suas idéias e detalhes gerais. O que também pode enganar muitos usuários é o domínio que os invasores usam - "bleachbitcleaner [.] Com". Existem alguns alarmes no site e os usuários mais experientes devem notar - existe apenas um link disponível no site, enquanto o tutorial on-line incorporado é para uma versão beta do programa lançado em 2009.
Depois de descobrir o site falso do BleachBit, os pesquisadores rastrearam a trilha da carga útil até a plataforma de compartilhamento de arquivos Dropbox. O servidor para o qual o AZORult envia os dados roubados também pode ser rastreado - ele é chamado de "twooo [.] Cn". O binário da cópia corrompida do BleachBit poderia ter o mesmo nome que o aplicativo legítimo, mas ainda não possui o ícone oficial. Depois de instalado em uma máquina, o ladrão de dados entra em contato com o servidor de Comando e Controle para obter instruções. Os pesquisadores ainda não sabem ao certo como as vítimas em potencial chegam ao site malicioso de download do BleachBit. Provavelmente, ele ocupa o primeiro lugar nos mecanismos de pesquisa devido ao seu perfil, ou os atacantes o enviam manualmente em fóruns de suporte entre usuários interessados no tópico de excluir com segurança dados confidenciais.
Muitas ferramentas antivírus na plataforma de verificação VirusTotal são capazes de detectar arquivos binários e ZIP do AZORult, embora as taxas de detecção ainda não sejam altas o suficiente. Além do site falso do BleachBit, o AZORult também explora os canais típicos de distribuição de malware, como campanhas de phishing e técnicas de engenharia social. Outras famílias de malware como Emotet e Ramnit também são conhecidas por baixar o AZORult.