Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Вредонос Aurora набирает популярность на киберпреступной арене (http://txgate.io:443/showthread.php?t=11105)

Artifact 03-18-2025 05:35 PM

Популярность инфостилера обусловлена его скрытностью и функционалом.
https://www.securitylab.ru/upload/ib...9lzt5ine3t.jpg
Aurora – это инфостилер, который впервые засветился на русскоязычных хакерских форумах в апреле 2022 года. Изначально разработчик рекламировал его как ботнет с мощным функционалом, позволяющим красть информацию и получать удаленный доступ к системам жертвы. Однако в конце августа 2022 года исследователи из SEKOIA заметили , что Aurora рекламируют как инфостилер. Это говорит об одном – разработчик решил отказаться от создания многофункционального инструмента. Но особых фич у вредоноса все равно в достатке:<ul><li>Полиморфная компиляция;</li>
</ul><ul><li>Расшифровка данных на стороне сервера;</li>
</ul><ul><li>Возможность работы с более чем 40 криптокошельками;</li>
</ul><ul><li>Автоматическое определение seed-фразы для MetaMask;</li>
</ul><ul><li>Реализован обратный поиск для сбора паролей;</li>
</ul><ul><li>Вредонос работает на TCP сокетах;</li>
</ul><ul><li>Подключение к C2 происходит только один раз, во время проверки лицензии;</li>
</ul><ul><li>Полезная нагрузка весит всего 4,2 МБ и не требует никаких зависимостей.</li>
</ul>Как говорят специалисты, все эти функции должны сделать злоумышленника почти невидимым для систем безопасности, что является огромным преимуществом Aurora перед другими популярными инфостилерами. Цена вредоноса – $250 в месяц или $1 500 за пожизненную лицензию.
При запуске Aurora выполняет несколько команд через WMIC для сбора основной информации о хосте, делает снимок рабочего стола и отправляет все на C&amp;C-сервер злоумышленников. Потом вредонос начинает искать данные, хранящиеся в различных браузерах (cookie-файлы, пароли, историю поиска, данные кредитных карт), расширениях для криптотрейдинга, приложения-криптокошельки (Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda и Jaxx Liberty) и Telegram.
Все украденные данные собираются в один JSON-файл, кодируются в base64 и отправляются на C&amp;C-сервер злоумышленников через TCP-порты 8081 или 9865.
SEKOIA сообщает, что аналитикам не удалось найти рабочий граббер файлов, обещанный разработчиком. Однако вместо этого был найден дроппер Aurora, который использует "net_http_Get" для доставки полезной нагрузки в файловую систему под случайным именем, а затем использует PowerShell-команду для ее выполнения.
Сейчас Aurora распространяется среди жертв в основном через фишинговые сайты, которые злоумышленники пиарят через ролики на YouTube и фишинговые рассылки.
Полный список индикаторов компрометации и сайтов, использованных для распространения Aurora, можно найти в репозитории SEKOIA на GitHub.


All times are GMT. The time now is 07:04 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.