Kompromittierte BleachBit-Website infiziert Benutzer mit der datenraubenden AZORult-Malware
BleachBit ist eine bekannte Anwendung für Linux-, Windows- und MacOS-Benutzer, die Speicherplatz durch Löschen von verfügbaren Daten zurückgewinnen möchten. Mit mehr als einer Million Downloads auf Sourceforge hat BleachBit einen beachtlichen Aufschwung erlangt, während Cyber-Gauner einen Weg gefunden haben, die enorme Popularität des Tools zu monetarisieren. Sie haben eine gefälschte Kopie der offiziellen BleachBit-Website erstellt, über die sie eine infodiebstahlende Malware namens AZORult verbreiten .
Für AZORult ist bekannt, dass es bereits seit 2016 existiert und dass es gut zugänglich ist - Interessenten könnten es in russischen Hacking-Foren für etwa 100 US-Dollar kaufen. Es kann eine Vielzahl vertraulicher Benutzerdaten wie gespeicherte Anmeldedaten, Anmeldeinformationen, Desktop- und Textdateien, Browserdaten, Kryptowährungsdaten und vieles mehr erfassen. Die Bedrohung kann auch als Downloader für andere Malware fungieren, während Forscher kürzlich herausfanden, dass eine Variante von AZORult ein verstecktes Administratorkonto auf infizierten Computern erstellen kann, um eine RAS-Verbindung herzustellen.
Attraktive Websites, die häufig von Cyber-Gaunern genutzt werden
Die gefälschte BleachBit-Website sieht ansprechend aus, da die Malware-Akteure sie so gestaltet haben, dass sie der Originalseite der App ähnelt und die allgemeinen Ideen und Details wiederherstellt. Was viele Benutzer auch täuschen kann, ist die Domain, die die Angreifer verwenden - "bleachbitcleaner [.] Com". Es gibt auch einige Alarmglocken auf der Website, die erfahrenere Benutzer bemerken sollten - es gibt nur einen Link auf der Website, während das eingebettete Online-Tutorial für eine Beta-Version des 2009 veröffentlichten Programms vorgesehen ist.
Nachdem die Forscher die gefälschte BleachBit-Website entdeckt hatten, gingen sie auf die Dateifreigabeplattform Dropbox zurück. Der Server, an den AZORult die gestohlenen Daten sendet , könnte ebenfalls aufgespürt werden - er heißt "twooo [.] Cn". Die Binärdatei der beschädigten BleachBit-Kopie könnte denselben Namen wie die legitime App haben, jedoch fehlt das offizielle Symbol. Sobald er auf einem Computer installiert ist, kontaktiert der Data-Stealer seinen Command-and-Control-Server, um Anweisungen zu erhalten. Die Forscher sind sich immer noch nicht sicher, wie potenzielle Opfer auf der böswilligen BleachBit-Download-Site landen. Wahrscheinlich nimmt es aufgrund seines Profils in Suchmaschinen einen Spitzenplatz ein, oder die Angreifer stellen es manuell in Support-Foren unter Benutzern, die an dem Thema des sicheren Löschens vertraulicher Daten interessiert sind.
Viele Antiviren-Tools auf der VirusTotal-Scanplattform können AZORult-Binär- und ZIP-Archive erkennen, obwohl die Erkennungsraten immer noch nicht hoch genug sind. Neben der gefälschten BleachBit-Website nutzt AZORult auch die typischen Malware-Vertriebskanäle wie Phishing-Kampagnen und Social-Engineering-Techniken. Andere Malware-Familien wie Emotet und Ramnit sind ebenfalls dafür bekannt, AZORult herunterzuladen.