Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Вредонос Aurora набирает популярность на киберпреступной арене

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 03-18-2025, 05:35 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Популярность инфостилера обусловлена его скрытностью и функционалом.

Aurora – это инфостилер, который впервые засветился на русскоязычных хакерских форумах в апреле 2022 года. Изначально разработчик рекламировал его как ботнет с мощным функционалом, позволяющим красть информацию и получать удаленный доступ к системам жертвы. Однако в конце августа 2022 года исследователи из SEKOIA заметили , что Aurora рекламируют как инфостилер. Это говорит об одном – разработчик решил отказаться от создания многофункционального инструмента. Но особых фич у вредоноса все равно в достатке:
  • Полиморфная компиляция;

  • Расшифровка данных на стороне сервера;

  • Возможность работы с более чем 40 криптокошельками;

  • Автоматическое определение seed-фразы для MetaMask;

  • Реализован обратный поиск для сбора паролей;

  • Вредонос работает на TCP сокетах;

  • Подключение к C2 происходит только один раз, во время проверки лицензии;

  • Полезная нагрузка весит всего 4,2 МБ и не требует никаких зависимостей.

Как говорят специалисты, все эти функции должны сделать злоумышленника почти невидимым для систем безопасности, что является огромным преимуществом Aurora перед другими популярными инфостилерами. Цена вредоноса – $250 в месяц или $1 500 за пожизненную лицензию.
При запуске Aurora выполняет несколько команд через WMIC для сбора основной информации о хосте, делает снимок рабочего стола и отправляет все на C&C-сервер злоумышленников. Потом вредонос начинает искать данные, хранящиеся в различных браузерах (cookie-файлы, пароли, историю поиска, данные кредитных карт), расширениях для криптотрейдинга, приложения-криптокошельки (Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda и Jaxx Liberty) и Telegram.
Все украденные данные собираются в один JSON-файл, кодируются в base64 и отправляются на C&C-сервер злоумышленников через TCP-порты 8081 или 9865.
SEKOIA сообщает, что аналитикам не удалось найти рабочий граббер файлов, обещанный разработчиком. Однако вместо этого был найден дроппер Aurora, который использует "net_http_Get" для доставки полезной нагрузки в файловую систему под случайным именем, а затем использует PowerShell-команду для ее выполнения.
Сейчас Aurora распространяется среди жертв в основном через фишинговые сайты, которые злоумышленники пиарят через ролики на YouTube и фишинговые рассылки.
Полный список индикаторов компрометации и сайтов, использованных для распространения Aurora, можно найти в репозитории SEKOIA на GitHub.
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 10:28 PM.

Contact Us - Carder.life - Archive - Top