假BleachBit网站旨在分发AZORult信息窃取者

 
如果有人试图让他们下载BleachBit，那么回收磁盘空间的实用程序的用户应该三思而后行。网络犯罪分子创建了一个网页，声称是该工具的官方网站，而是传播AZORult信息窃取程序。
BleachBit是一个工具，可以帮助Windows，Linux和macOS用户通过删除一次性数据来回收磁盘空间。 Sourceforge自最初发布以来已经有超过一百万的下载量，也可以直接从开发者的网站上获得。
AZORult是一个长期信息窃取者，在俄罗斯地下论坛上售价约100美元。它可以从受感染的计算机收集各种类型的敏感数据，例如浏览器历史记录，保存的登录名，FTP客户端中存储的凭据，桌面和文本文件等。
看起来很干净的冒充
在设计网站时，不良行为者注意到一般细节，并使用域名bleachbitcleaner [。] com – 最后更新于8月27日 – 以欺骗很多用户认为它是该实用程序的合法主页。
他们还创建了一个看起来足够吸引人的网页，尽管只有一个链接可用，导致AZORult的链接。这个以及2009年发布的测试版测试版的嵌入式视频教程应该会引起一些警钟。
安全研究员Benkow发现并跟踪有效载荷跟踪到Dropbox文件共享平台。
他还跟踪收到从受感染计算机获取的数据的服务器到两个[。] cn。
假BleachBit软件网站。 HTTP：[。] [] [] // 5 188 60 32 /
传播Azorult(twooo [。] cn)
有效负载托管在Dropbox pic.twitter.com/bz3jXuNrrt上
– BenkøwmoʞuƎq(@benkow_)2019年9月2日
恶意doppelgänger的二进制文件可能与原始文件具有相同的名称，但缺少官方图标。
上传被盗数据
安装完成后，AZORult会联系其命令和控制(C2)服务器以获取指令。它可以收集特定位置的浏览器历史记录，登录凭据，Cookie和文件。
落入该技巧的用户将从Dropbox下载ZIP存档，并在启动时自动收集受害者的数据并将其上传到攻击者的命令和控制服务器。
ZIP存档和可执行文件都被VirusTotal扫描平台上的各种防病毒引擎选中。但检测率不高;该容器由14个产品标记，而二进制文件由25个标识。
目前还不清楚骗子是如何将受害者引向虚假网站的。但是，鉴于BleachBit的个人资料，攻击者可能希望它在搜索引擎中排名很好，或者在支持论坛上手动推送虚假网站，或者希望安全删除敏感数据的用户。