Netskope Threat Labs выявилановую кампанию, в ходе которой используются фишинговые страницы Google Sites для распространения инфостилера AZORult. Фишинговая кампания пока не связана с каким-либо конкретным злоумышленником или группой, она направлена на сбор чувствительных данных для последующей продажи в даркнете.
AZORult (также известный как PuffStealer и Ruzalto) – это вредоносная программа для кражи информации, впервые обнаруженная в 2016 году. Распространяется через фишинг, заражённые установщики пиратского ПО, поддельные читы для игр, а также через мошенническую рекламу.
После установки AZORult собирает учётные данные, куки и историю браузеров, скриншоты, документы с определёнными расширениями (TXT, DOC, XLS, DOCX, XLSX, AXX и KDBX), а также данные из 137 криптовалютных кошельков. Файлы AXX – это зашифрованные файлы, созданные AxCrypt, а KDBX – это база данных паролей, созданная менеджером паролей KeePass.
В обнаруженной атаке злоумышленники через Google Sites создали поддельные страницы Google Docs, которые затем используют технику HTML Smuggling для доставки вредоносного кода. Такой метод позволяет обойти стандартные меры безопасности, в том числе шлюзы электронной почты, которые обычно проверяют наличие подозрительных вложений.
В кампании также используется CAPTCHA, которая не только придает правдоподобности, но и служит дополнительным слоем защиты от сканеров URL.
Скачанный вредоносный файл представляет собой ярлык Windows, который маскируется под выписку по счету в банке в формате PDF. Запуск ярлыка инициирует серию действий по выполнению промежуточных скриптов и скриптов PowerShell с уже скомпрометированного домена.