В Google Docs обнаружили троян AZORult

Фото: The Productive Engineer

Исследователи из Netskope Threat Labs обнаружили новую вредоносную кампанию, в ходе которой злоумышленники распространяют троян AZORult через фишинговые страницы Google Docs.

Хакеры создают поддельные сайты создаются через Google Sites, а для доставки ВПО на устройства используют технику HTML Smuggling. Таким образом, заражение и выполнение полезной нагрузки не обнаруживается защитными решениями. В кампании также используется CAPTCHA, которая повышает доверие к ресурсу и защищает от URL-сканеров.

Троян AZORult, он же PuffStealer и Ruzalto – вредоносное ПО, способное похищать различные виды данных. В список его целей входят: куки, история браузера, скриншоты, файлы с определёнными расширениями, данные криптовалютных кошельков. Троян был впервые обнаружен в 2016 году.

Специалисты не смогли связать активность трояна с конкретной кибергруппировкой. Известно только то, что данные собираются с целью дальнейшей продажи на теневых ресурсах.