Elektrum konfiguráció. AZORult káros kód

Microsoft Összefoglaló Az AZORult ban tűnt fel, eredetileg a Chthonic banki trójai fertőzés részeként azonosították, azóta e-mail kampányok során rendszeresen visszatér.

Elsődlegesen banki adatok lopására fejlesztették, későbbi verziói minden elérhető adatot böngésző adatok, sütik, chat előzmények, asztali file-ok stb. Leírás Az AZORult egyik érdekes tulajdonsága, hogy a végrehajtás után a malware eltávolításra kerül a rendszerből.

Ez a verzió első lépésként meghívja a GetUserDefaultLangID függvényt, azonban amennyiben az eredmény orosz, örmény, azerbajdzsáni, belorusz, grúz, kazah, tadzsik, türkmén vagy üzbég, akkor leállítja a futását.

Megjelenése óta több frissítésen is átesett, újabban elsődlegesen ezt kísérlik meg telepíteni a támadók, majd az AZORult segítségével történik meg a további káros szoftverek pl. Legutolsó ismert verziója a 3.

A hamisított ProtonVPN-eket kínáló protonvpn.

Ezt az azonosítót használja fel a C2 szerver felé történő kommunikáció elektrum konfiguráció. A C2 kiszolgáló konfigurációs adatokat küld, amelyek tartalmazzák az ellopni kívánt információk körét, pl.

Ezután kerül sor a tényleges adatgyűjtésre, titkosításra. Az AZORult letölthet és futtathat más káros kódokat is.