Compromised BleachBit Website Infects Users with the Data-Stealing AZORult Malware

BleachBit是Linux，Windows和macOS用戶中眾所周知的應用程序，他們希望通過刪除可處理的數據來回收磁盤空間。 BleforBit在Sourceforge上下載量超過一百萬，已經獲得了巨大的發展勢頭，而網絡騙子已經找到了一種方法來將該工具的巨大受歡迎程度貨幣化。他們創建了官方BleachBit網站的虛假副本，通過該網站傳播了一個名為AZORult的信息竊取惡意軟件威脅。

對於AZORult來說，眾所周知它自2016年以來一直存在並且它非常容易獲得 - 有興趣的人可以在俄羅斯黑客論壇上以100美元的價格購買它。它能夠收集各種敏感用戶數據，如保存的登錄，登錄憑據，桌面和文本文件，瀏覽數據，加密貨幣數據等等。該威脅還可以充當其他惡意軟件的下載程序，而研究人員最近發現，AZORult的變體可以在受感染的計算機上創建隱藏的管理員帳戶以建立遠程訪問協議連接。

吸引人的網站經常被網絡騙子所利用

虛假的BleachBit網站看起來很吸引人，因為惡意軟件演員設計它類似於應用程序的原始頁面，重新創建它的一般想法和細節。也可能欺騙許多用戶的是攻擊者使用的域名 - "bleachbitcleaner [。] com"。網站上也有一些警鐘，更有經驗的用戶應該注意到 - 網站上只有一個鏈接可用，而嵌入式在線教程則是2009年發布的測試版程序。

在發現假的BleachBit網站後，研究人員將有效載荷跟踪追溯到文件共享平台Dropbox。 AZORult發送被盜數據的服務器也可以被追踪 - 它被命名為"twooo [。] cn"。已損壞的BleachBit副本的二進製文件可能與合法應用程序具有相同的名稱，但它缺少官方圖標。一旦安裝在機器上，數據竊取程序就會聯繫其命令和控制服務器以獲取指令。研究人員仍然不確定潛在的受害者如何登陸惡意的BleachBit下載網站。可能由於其配置文件，它在搜索引擎中排名很高，或者攻擊者在對安全刪除敏感數據主題感興趣的用戶中手動將其推送到支持論壇上。

VirusTotal掃描平台上的許多反病毒工具都能夠檢測到AZORult二進製文件和ZIP存檔，但檢測率仍然不夠高。除了虛假的BleachBit網站，AZORult還利用了典型的惡意軟件分發渠道，如網絡釣魚活動和社交工程技術。其他惡意軟件家族如Emotet和Ramnit也因下載AZORult而聞名。