El sitio web de BleachBit comprometido infecta a los usuarios con el malware AZORult que roba datos
BleachBit es una aplicación bien conocida entre los usuarios de Linux, Windows y macOS que desean recuperar espacio en disco eliminando datos desechables. Con más de un millón de descargas en Sourceforge, BleachBit ha ganado un impulso significativo, mientras que los delincuentes cibernéticos han encontrado una manera de monetizar la gran popularidad de la herramienta. Han creado una copia falsa del sitio web oficial de BleachBit a través del cual difundieron una amenaza de malware que roba información llamada AZORult .
Para AZORult, se sabe que existe desde 2016 y que es bastante accesible: los interesados pueden comprarlo por alrededor de $ 100 en foros de piratería rusos. Es capaz de recopilar una amplia variedad de datos confidenciales del usuario, como inicios de sesión guardados, credenciales de inicio de sesión, archivos de escritorio y de texto, datos de navegación, datos de criptomonedas y muchos más. La amenaza también puede actuar como un descargador para otro malware, mientras que los investigadores descubrieron recientemente que una variante de AZORult puede crear una cuenta de administrador oculta en las computadoras infectadas para establecer una conexión de Protocolo de acceso remoto.
Sitios web atractivos a menudo aprovechados por delincuentes cibernéticos
El sitio web falso de BleachBit parece atractivo ya que los actores de malware lo diseñaron para parecerse a la página original de la aplicación, recreando sus ideas y detalles generales. Lo que también puede engañar a muchos usuarios es el dominio que usan los atacantes: "bleachbitcleaner [.] Com". También hay algunas alarmas en el sitio que los usuarios más experimentados deberían poder notar: solo hay un enlace disponible en el sitio web, mientras que el tutorial en línea incorporado es para una versión beta del programa lanzado en 2009.
Después de descubrir el sitio web falso de BleachBit, los investigadores rastrearon el camino de la carga útil hasta la plataforma de intercambio de archivos Dropbox. El servidor al que AZORult envía los datos robados también se puede rastrear : se llama "twooo [.] Cn". El binario de la copia corrupta de BleachBit podría tener el mismo nombre que la aplicación legítima, pero carece del ícono oficial. Una vez instalado en una máquina, el ladrón de datos se pone en contacto con su servidor de Comando y Control para obtener instrucciones. Los investigadores aún no están seguros de cómo las posibles víctimas aterrizan en el sitio malicioso de descargas de BleachBit. Probablemente, ocupa un lugar destacado en los motores de búsqueda debido a su perfil, o los atacantes lo empujan manualmente en los foros de soporte entre los usuarios interesados en el tema de la eliminación segura de datos confidenciales.
Muchas herramientas antivirus en la plataforma de escaneo VirusTotal pueden detectar el archivo binario y ZIP de AZORult, aunque las tasas de detección aún no son lo suficientemente altas. Además del sitio web falso de BleachBit, AZORult también explota los canales de distribución de malware típicos, como las campañas de phishing y las técnicas de ingeniería social. Otras familias de malware como Emotet y Ramnit también son conocidas por descargar AZORult.