Proofpoint的恶意软件研究人员在野外发现了新版本的AZORult间谍软件，它于7月18日参与了大型电子邮件攻击行动，仅在24小时之后，就在Dark Web网络犯罪论坛上现身。

攻击者发送了数千封针对北美的邮件，而这些消息使用与就业相关的主题，如“关于职位”和“工作申请”。恶意附加文档使用格式为“firstname.surname_resume.doc”的文件名。

ProofPoint发布的分析报告如是说，

AZORult是一个强大的信息窃取程序和下载程序，Proofpoint研究人员最初在2016年通过Chthonic银行特洛伊木马识别出这是次要感染的一部分。我们已经观察到许多AZORult通过漏洞利用工具包和相当规律的电子邮件活动作为主要和次要有效载荷释放的实例。

最近，AZORult的作者发布了一个大幅更新的版本，改进了其窃取器和下载器的功能。

AZORult是Proofpoint于2016年首次发现的数据窃取者，它是Chthonic银行木马进行二次感染的一部分。后来它参与了许多恶意邮件攻击，但直到最近作者才发布了一个实质性更新的变种。

最新版本看起来比以前更先进，它实现了从浏览器窃取历史记录的功能（IE和Edge除外），包括一个在运行恶意代码之前检查某些参数的条件加载器，并包括对Exodus，Jaxx，Mist，Ethereum，Electrum，Electrum-LTC加密货币钱包的支持。

完整更改日志如下图所示：

· UPDv3.2

· [+]添加了从浏览器中窃取历史记录的功能（IE和Edge除外）

· [+]增加了对加密钱包的支持：Exodus，Jaxx，Mist，Ethereum，Electrum，Electrum-LTC

· [+]改进Loader。现在支持无限链接。在管理面板中，您可以指定加载程序的工作原理规则。例如：如果有来自mysite.com的cookie或保存的密码，则下载并运行文件link[.]com/soft.exe。还有一条规则“如果有加密货币钱包的数据”或“适用所有人”

· [+]窃取者现在可以使用系统代理。如果系统上安装了代理，但没有通过它连接，则窃取程序将尝试直接连接（以防万一）

· [+]减少了管理面板中的负载。

· [+]向管理员面板添加了一个用于删除“假人”的按钮，即没有有用信息的报告

· [+]添加到管理面板访客统计信息

· [+]在管理面板中添加了geobase

条件加载器允许攻击者仅感染具有指定特征的系统，例如，它可以检查受害者机器上是否存在某些特定站点所需的cookie或保存的密码，恶意软件成功连接C＆C服务器后，它将向其发送下述file。

接下来，在受感染的计算机和C＆C服务器之间进行初始交换后，受感染的计算机会发送包含被盗信息的报告。报告再次使用相同的3字节密钥进行XOR编码;解码版本的一部分如图5所示。被窃取的信息分为以下几个部分：

· info：基本的计算机信息，如Windows版本和计算机名称

· pwds：此部分包含被窃取的密码（未确认）

· cooks：cookie或访问过的网站

· file：cookie文件和包含更多系统分析信息的文件，包括机器ID、Windows版本、计算机名称、屏幕分辨率、本地时间、时区、CPU型号、CPU数量、RAM、视频卡信息、受感染计算机的进程列表以及受感染计算机上安装的软件。

此阶段完成后，AZORult可以下载下一阶段的有效载荷。

专家将此行动归功于专注于加密货币的TA516威胁攻击者。

ProofPoint说，

正如在合法的软件开发中一样，恶意软件作者会定期更新他们的软件以引入有竞争力的新功能，提高可用性，并以其他方式区分他们的产品。

最近对AZORult的更新包括了大量升级，这些恶意软件在电子邮件和基于Web的威胁环境中已经很成熟。值得注意的是，在新的更新出现在地下论坛的一天之内，一位多产的攻击者在一个大型电子邮件行动中使用了新版本，利用其新功能来发布爱马仕勒索软件。

专家注意到，感染过程要求用户交互以规避防病毒软件。受害者必须下载受密码保护的文档，只有在电子邮件正文中包含的弹出框中输入密码后，才会通过请求用户启用宏来启动攻击。

宏下载AZORult，后者又下载了Hermes 2.1勒索软件。

专家们总结道，

AZORult恶意软件凭借其凭证和加密货币窃取功能，为个人带来潜在的直接经济损失，给予行动者在受影响机构中建立滩头阵地的机会。