Compromised BleachBit Website Infects Users with the Data-Stealing AZORult Malware

BleachBit是Linux，Windows和macOS用户中众所周知的应用程序，他们希望通过删除可处理的数据来回收磁盘空间。 BleforBit在Sourceforge上下载量超过一百万，已经获得了巨大的发展势头，而网络骗子已经找到了一种方法来将该工具的巨大受欢迎程度货币化。他们创建了官方BleachBit网站的虚假副本，通过该网站传播了一个名为AZORult的信息窃取恶意软件威胁。

对于AZORult来说，众所周知它自2016年以来一直存在并且它非常容易获得 - 有兴趣的人可以在俄罗斯黑客论坛上以100美元的价格购买它。它能够收集各种敏感用户数据，如保存的登录，登录凭据，桌面和文本文件，浏览数据，加密货币数据等等。该威胁还可以充当其他恶意软件的下载程序，而研究人员最近发现，AZORult的变体可以在受感染的计算机上创建隐藏的管理员帐户以建立远程访问协议连接。

吸引人的网站经常被网络骗子所利用

虚假的BleachBit网站看起来很吸引人，因为恶意软件演员设计它类似于应用程序的原始页面，重新创建它的一般想法和细节。也可能欺骗许多用户的是攻击者使用的域名 - "bleachbitcleaner [。] com"。网站上也有一些警钟，更有经验的用户应该注意到 - 网站上只有一个链接可用，而嵌入式在线教程则是2009年发布的测试版程序。

在发现假的BleachBit网站后，研究人员将有效载荷跟踪追溯到文件共享平台Dropbox。 AZORult发送被盗数据的服务器也可以被追踪 - 它被命名为"twooo [。] cn"。已损坏的BleachBit副本的二进制文件可能与合法应用程序具有相同的名称，但它缺少官方图标。一旦安装在机器上，数据窃取程序就会联系其命令和控制服务器以获取指令。研究人员仍然不确定潜在的受害者如何登陆恶意的BleachBit下载网站。可能由于其配置文件，它在搜索引擎中排名很高，或者攻击者在对安全删除敏感数据主题感兴趣的用户中手动将其推送到支持论坛上。

VirusTotal扫描平台上的许多反病毒工具都能够检测到AZORult二进制文件和ZIP存档，但检测率仍然不够高。除了虚假的BleachBit网站，AZORult还利用了典型的恶意软件分发渠道，如网络钓鱼活动和社交工程技术。其他恶意软件家族如Emotet和Ramnit也因下载AZORult而闻名。