Хакеры из Minerva Labs обнаружили сложный вариант распространения малвари (вредоносная программа — прим. ред.) AZORult. AZORult – известный троян-стилер, который также может служить загрузчиком для других вредоносных файлов.

AZORult способен похищать самые разные пользовательские данные: информацию из файлов, пароли, куки, историю браузеров, банковские учетные данные и информацию о криптовалютных кошельках.

Специалисты получили от пользователя сети файл GoogleUpdate.exe, подписанный действующим сертификатом, однако вызвавший подозрения у защитного решения Anti-Evasion Platform.

Этот файл легко можно было бы спутать с легитимным средством обновления Google практически по всем параметрам, он имел верную иконку и уже упомянутый выше сертификат.

Глубокий анализ данных выявил, что под настоящий GoogleUpdate маскировался AZORult. Троян удалось «опознать» сразу по нескольким признакам: запросы HTTP POST, который тот отправлял /index.php на домен в зоне .bit; типичное для данной малвари использование User-Agent Mozilla/4.0.

Специалисты пишут, что вредонос «придерживался легенды» и маскировался под средство обновления Google до конца. Так, малвари пряталась на самом виду и размещалась в папке с путем C:\Program Files\Google\Update\GoogleUpdate.exe, что позволяло ей прописаться в системе и работать с привилегиями администратора.

В итоге, малвари, которая уже подменила собой настоящее средство обновления Google, не приходилось вмешиваться в реестр Windows и создавать для себя отдельные запланированные задания. AZORult пользовался приписанными к Google заданиями GoogleUpdateTaskMachineCore и GoogleUpdateTaskMachineUA, а также соответственными ключами реестра.

В компьютер пользователя вредоносное ПО попадает во время скачивания так называемых кряков (программ для взлома лицензионного софта и игр), а также приложения для блокировки рекламных баннеров в браузере.

Благодаря вирусу на компьютер загружаются четыре файла, которые парализуют работу операционной системы. При этом на экране появляется уведомление об обновлении Windows.