钱包,并从本地系统获取数据。网络安全公司Sekoia的安全研究团队已经确定了至少七名被称为“贩运者”的恶意行为者,他们将Aurora添加到他们的信息窃取武器库中。在某些情况下,它还与Redline或Raccoon信息窃取恶意软件一起使用。报告称,到目前为止,该恶意软件已将40多个加密货币钱包和应用程序(如Telegram)作为目标,突出了Aurora相对不为人知的地位和难以捉摸的特性作为一种战术优势。Aurora于7月首次被该公司发现,据信自4月以来已在俄语论坛上得到推广,宣传其远程访问功能和高级信息窃取功能。“在2022年10月和2022年11月收集的数百个样本和数十个活跃的C2服务器证实了Sekoia之前的评估,即AuroraStealer将成为一种普遍的信息窃取恶意软件,”该公司表示。“AuroraStealer正在成为一个突出的威胁,因为包括走私团队在内的几个网络犯罪集团将恶意软件添加到他们的武器库中,”报告解释说。报告还指出,网络犯罪集团一直在使用多条感染链传播恶意软件。这些网站的范围很广,从伪装成合法网站的网络钓鱼网站到YouTube视频,再到伪造的“自由软件目录”网站。“这些感染链使用网络钓鱼页面伪装成合法软件的下载页面,包括加密货币钱包或远程访问工具,以及使用YouTube视频和SEO准备的虚假破解软件下载站点的信息和数据。”Sekoia的分析还强调,目前有两条感染链在野外传播Aurora窃取器,一条是通过模仿Exodus钱包的钓鱼网站,另一条是通过被盗账户的YouTube视频展示如何免费安装破解软件.该恶意软件使用简单的文件抓取器配置来收集目录列表以搜索感兴趣的文件。然后它使用端口8081和9865上的TCP连接进行通信,其中8081是最广泛开放的端口。然后将泄露的文件进行base64编码并发送到命令和控制服务器(C2)。据研究人员称,收集到的数据在各个市场以高价提供给网络犯罪分子,这些网络犯罪分子希望开展有利可图的后续活动,即所谓的“大狩猎”,以追逐大公司和政府部门的目标。事实上,越来越多的恶意行为者正在使用开放源代码编程语言(如Go)构建恶意软件和勒索软件,这些语言提供了更大的灵活性。Go的跨平台功能允许将单个代码库编译到所有主要操作系统中。这使得网络犯罪集团很容易不断更改恶意软件并为其添加新功能以避免被发现。跨平台BianLian勒索软件的运营商实际上在最近几个月增加了他们的C2基础设施,表明他们的运营步伐正在加快。根据黑莓去年的一份报告,不常见的编程语言——包括Go、Rust、Nim和DLang——也正成为寻求绕过安全防御或解决其开发过程中的弱点的恶意软件作者的最爱。
