Зачем нужно купить azorult stealler

31 августа 2022 г.

AZORult – известный троян-стилер, который также может служить загрузчиком для других вредоносов. AZORult способен похищать самые разные пользовательские данные: информацию из файлов, пароли, куки, историю браузеров, банковские учетные данные и информацию о криптовалютных кошельках. Купить azorult stealler (или стиллер азор) можно на специализированных сайтах, например тут https://logshop.top/azorult-stiller/

Еще в конце 2018 года основной продавец AZORult, известный под ником CrydBrox, прекратил продажи этого вредоноса, сообщив, что «любой софт имеет свой срок жизни». Вероятно, это связано с тем, что ранее в широкий доступ попала версия AZORult 3.2, а также исходный код административной панели для управления ботнетом. Эта версия малвари активно распространилась на хакерских форумах, где пользователь мог скачать ее и, практически не имея специальных навыков, настроить для использования в своих целях.

Однако специалисты «Лаборатории Касперского» пишут, что на этом история AZORult определенно не закончилась. В начале марта 2019 года внимание специалистов привлекли несколько вредоносных файлов. Они были похожи на уже известный AZORult, но в отличие от оригинальной малвари были написаны не на Delphi, а на C++. По всей видимости, последователи закрывшего продажи CrydBrox решили переписать AZORult на C++ и улучшить его (в итоге новую версию малвари назвали AZORult++).

Свою работу AZORult++ начинает с проверки языкового идентификатора с помощью вызова функции GetUserDefaultLangID(). Если AZORult++ запущен в системе, где языковой идентификатор соответствует русскому, армянскому, азербайджанскому, белорусскому, грузинскому, казахскому, таджикскому, туркменскому или узбекскому языкам, то его исполнение прекращается. В оригинальном AZORult 3.3 такая проверка отсутствовала.

В ходе более детального анализа разработчики заметили, что возможности версии на С++ сильно урезаны по сравнению с последней продававшейся версией AZORult 3.3. В частности, нет функциональности загрузчика, не поддерживается кража сохраненных паролей из многих браузеров, поддерживаемых AZORult v3.3. При этом многие характерные признаки версии 3.3 на Delphi присутствуют у AZORult++: алгоритм общения с управляющим сервером и формат команд, структура и способ хранения собранных данных, ключи шифрования и так далее.

Как и его предшественник, AZORult++ шифрует данные, передаваемые на управляющий сервер, с помощью операции XOR с ключом длиной 3 байта. При этом используемый ключ уже встречался в различных модификациях версии 3.3.

Оригинал статьи https://www.vingle.net/posts/4714799