Le site Web BleachBit compromis infecte les utilisateurs avec le logiciel malveillant AZORult de vol de données
BleachBit est une application bien connue des utilisateurs de Linux, Windows et MacOS qui souhaitent récupérer de l’espace disque en supprimant des données jetables. Avec plus un million de téléchargements sur Sourceforge, BleachBit a pris un nouvel élan, tandis que les cyber-escrocs ont trouvé un moyen de monétiser énorme popularité de outil. Ils ont créé une fausse copie du site Web officiel BleachBit par le biais duquel ils ont propagé une menace de programmes malveillants appelée AZORult, qui volent des informations .
Pour AZORult, il est connu qu’il existe depuis 2016 et qu’il est assez accessible - les personnes intéressées pourraient l’acheter pour environ 100 USD sur les forums de piratage russes. Il est capable de collecter une grande variété de données utilisateur sensibles, telles que les connexions enregistrées, les informations de connexion, les fichiers de bureau et les fichiers texte, les données de navigation, les données de crypto-monnaie, etc. La menace peut également servir de téléchargeur pour d’autres logiciels malveillants, tandis que des chercheurs ont récemment découvert qu’une variante de AZORult pouvait créer un compte d’administrateur masqué sur des ordinateurs infectés afin d’établir une connexion avec le protocole d’accès distant.
Sites Web attrayants souvent exploités par des cyber-escrocs
Le faux site Web BleachBit semble attrayant, car les acteurs de malwares ont conçu pour ressembler à la page origine de application, en recréant ses idées générales et ses détails. Ce qui peut également induire en erreur de nombreux utilisateurs est le domaine utilisé par les attaquants - "bleachbitcleaner [.] Com". Il existe également sur le site des sonneries alarme que les utilisateurs plus expérimentés devraient pouvoir remarquer: un seul lien est disponible sur le site, tandis que le didacticiel en ligne intégré concerne une version bêta du programme parue en 2009.
Après avoir découvert le faux site Web BleachBit, les chercheurs ont retracé le chemin de la charge utile jusq à la plate-forme de partage de fichiers Dropbox. Le serveur auquel AZORult envoie les données volées peut également être retrouvé - il est nommé "deuxoo [.] Cn". Le fichier binaire de la copie corrompue de BleachBit pourrait avoir le même nom que application légitime, mais il lui manque icône officielle. Une fois installé sur une machine, le voleur de données contacte son serveur Command-and-Control pour obtenir des instructions. Les chercheurs ne savent toujours pas comment les victimes potentielles atterrissent sur le site de téléchargement malveillant BleachBit. En raison de son profil, les moteurs de recherche le classent probablement parmi les meilleurs, ou les attaquants le poussent manuellement sur les forums assistance parmi les utilisateurs intéressés par la suppression en toute sécurité de données confidentielles.
De nombreux outils antivirus sur la plate-forme analyse de VirusTotal sont capables de détecter les archives binaires et ZIP AZORult, bien que les taux de détection ne soient toujours pas suffisants. Outre le faux site Web BleachBit, AZORult exploite également les canaux de distribution de logiciels malveillants typiques tels que les campagnes de phishing et les techniques ingénierie sociale. autres familles de programmes malveillants, comme Emotet et Ramnit, sont également connues pour télécharger AZORult.