Το AuraStealer έχει αναδειχθεί ως ένα επικίνδυνο κακόβουλο λογισμικό ως υπηρεσία που στοχεύει συστήματα Windows από τα Windows 7 έως τα Windows 11.
Αυτός ο infotealer εξαπλώνεται κυρίως μέσω καμπανιών Scam-Yourself σε πλατφόρμες όπως το TikTok, όπου τα θύματα συναντούν εκπαιδευτικά βίντεο που προωθούν τη δωρεάν ενεργοποίηση λογισμικού επί πληρωμή.
Το κακόβουλο λογισμικό έχει αναπτυχθεί σε C++ με μέγεθος κατασκευής μεταξύ 500 και 700 KB και ισχυρίζεται ότι κλέβει δεδομένα από περισσότερα από 110 προγράμματα περιήγησης, 70 εφαρμογές, συμπεριλαμβανομένων πορτοφολιών και εργαλείων ελέγχου ταυτότητας δύο παραγόντων και πάνω από 250 επεκτάσεις προγράμματος περιήγησης μέσω του προσαρμόσιμου συστήματος διαμόρφωσής του.
Η απειλή λειτουργεί μέσω πολλαπλών μεθόδων παράδοσης, συμπεριλαμβανομένων σπασμένων παιχνιδιών, λήψεων κακόβουλου λογισμικού και ροών εκτέλεσης πολλαπλών σταδίων που περιλαμβάνουν προσαρμοσμένους φορτωτές και τεχνικές πλευρικής φόρτωσης DLL.
Προσφέρεται μέσω ενός κλιμακωτού μοντέλου συνδρομής με τιμές που κυμαίνονται από 295 $ έως 585 $ το μήνα, το AuraStealer παρέχει στους εγκληματίες του κυβερνοχώρου ένα ειδικό πλαίσιο web για τη διαχείριση κλεμμένων δεδομένων.
Το κακόβουλο λογισμικό αρχικά υποστήριζε μόνο τα ρωσικά, αλλά έκτοτε έχει ενημερωθεί για να περιλαμβάνει υποστήριξη αγγλικής γλώσσας, υποδεικνύοντας ότι οι προγραμματιστές λειτουργούν σε ρωσόφωνες κοινότητες εγκληματιών στον κυβερνοχώρο.
Παρά τον εκλεπτυσμένο σχεδιασμό του, ο κλέφτης περιέχει πολλά ελαττώματα που δημιουργούν ευκαιρίες ανίχνευσης για τους υπερασπιστές ασφαλείας.
.webp.jpeg "Ερευνά λεπτομερείς δυνατότητες συσκότισης, αντιανάλυσης και κλοπής δεδομένων AuraStealer")
Γενψηφιακοί ερευνητές αναγνωρισθείς ότι το AuraStealer χρησιμοποιεί προηγμένες τακτικές αποφυγής για να αποφύγει τον εντοπισμό και την ανάλυση. Το κακόβουλο λογισμικό εκτελεί εκτεταμένους ελέγχους πριν από την εκτέλεση, συμπεριλαμβανομένης της επαλήθευσης γεωγραφικής θέσης για να αποφύγει την εκτέλεση σε χώρες της ΚΑΚ και χώρες της Βαλτικής.
Αξιολογεί τα χαρακτηριστικά του συστήματος όπως η χωρητικότητα της μνήμης και ο αριθμός επεξεργαστών για τον εντοπισμό εικονικών μηχανών, αναμένοντας τουλάχιστον τέσσερις επεξεργαστές ή 200 διεργασίες που εκτελούνται να προχωρήσουν στην εκτέλεση.
.webp.jpeg "Ερευνά λεπτομερείς δυνατότητες συσκότισης, αντιανάλυσης και κλοπής δεδομένων AuraStealer")
Ο κλέφτης εμφανίζει επίσης ένα παράθυρο διαλόγου που απαιτεί από τους χρήστες να εισαγάγουν έναν τυχαία δημιουργημένο κώδικα όταν εκτελείται χωρίς προστατευτικά στρώματα, σταματώντας ουσιαστικά την αυτοματοποιημένη ανάλυση sandbox ενώ αναγκάζει τους διανομείς να συσκευάσουν το κακόβουλο λογισμικό με πρόσθετα προστατευτικά στρώματα.
Τεχνικές συσκότισης ροής έμμεσου ελέγχου και κρυπτογράφησης συμβολοσειρών
Το κακόβουλο λογισμικό εφαρμόζει συσκότιση ροής έμμεσου ελέγχου αντικαθιστώντας συστηματικά τα απευθείας άλματα και τις κλήσεις με έμμεσες όπου οι διευθύνσεις στόχου υπολογίζονται μόνο κατά το χρόνο εκτέλεσης.
Αυτή η μέθοδος διακόπτει τα εργαλεία στατικής ανάλυσης όπως το IDA Pro αφήνοντας τους αποσυναρμολογητές με φαινομενικά άσχετα βασικά μπλοκ.
Ο μηχανισμός συσκότισης χρησιμοποιεί διάφορα μοτίβα που κυμαίνονται από απλά αριθμητικά αθροίσματα έως πολύπλοκες εντολές υπό όρους όπως το cmovz όπου οι διευθύνσεις προορισμού εξαρτώνται από τις τιμές επιστροφής πολλών προηγούμενων κλήσεων συναρτήσεων.
Για να κρύψει τη λειτουργικότητά του, το AuraStealer χρησιμοποιεί κατακερματισμό API που βασίζεται σε εξαιρέσεις μέσω ενός προσαρμοσμένου χειριστή εξαιρέσεων που ενεργοποιεί σκόπιμα παραβιάσεις πρόσβασης, παρεμποδίζοντάς τις για να αποστείλει κατάλληλες διευθύνσεις συναρτήσεων από προυπολογισμένους πίνακες αναζήτησης.
.webp.jpeg "Ερευνά λεπτομερείς δυνατότητες συσκότισης, αντιανάλυσης και κλοπής δεδομένων AuraStealer")
Η συσκότιση συμβολοσειρών χρησιμοποιεί κρυπτογράφηση XOR που βασίζεται σε στοίβα, όπου οι κρυπτογραφημένες συμβολοσειρές και τα αντίστοιχα κλειδιά XOR συνδέονται στη μνήμη από σταθερές τιμές πριν αποκρυπτογραφηθούν.
Το κακόβουλο λογισμικό εκτελεί ελέγχους κατά της παραβίασης χρησιμοποιώντας τη λειτουργία MapFileAndCheckSumw για να επαληθεύσει τα αθροίσματα ελέγχου αρχείων σε σχέση με τιμές που είναι αποθηκευμένες στην κεφαλίδα PE, τερματίζοντας την εκτέλεση εάν εντοπιστούν τροποποιήσεις.
Το AuraStealer εγκαθιστά προσαρμοσμένους χειριστές εξαιρέσεων κατά τις ρουτίνες προετοιμασίας πριν φτάσει στο WinMain, κάνοντας την ανίχνευση να παραβλέπεται εύκολα.
Ο κλέφτης στοχεύει ευαίσθητα δεδομένα από προγράμματα περιήγησης που βασίζονται σε Chromium και Gecko, πορτοφόλια κρυπτονομισμάτων, ενεργά διακριτικά περιόδου λειτουργίας από Discord, Telegram και Steam, διακριτικά ελέγχου ταυτότητας δύο παραγόντων, βάσεις δεδομένων διαχείρισης κωδικών πρόσβασης, συμπεριλαμβανομένων των KeePass και Bitwarden, διαμορφώσεις VPN, περιεχόμενα προχείρου και στιγμιότυπα οθόνης προσαρμοσμένης αναζήτησης.
