網絡犯罪團伙越來越多地采用 Aurora信息竊取惡意軟件

網絡犯罪分子越來越多地轉向一種名為“Aurora”的基于 Go 的新型信息竊取程序，以從瀏覽器和加密貨幣應用程序中竊取敏感信息，直接從磁盤中竊取數據，并加載額外的有效負載。根據網絡安全公司 SEKOIA的說法，至少有七個活躍的著名網絡團伙專門采用了Aurora，或者與另外兩個已建立的信息竊取惡意軟件系列 Redline 和 Raccoon 一起采用。

Aurora 受歡迎程度突然上升的原因是它的低檢測率和普遍未知的狀態，使得它的感染不太可能被發現。Aurora 提供了先進的數據竊取功能以及可能的基礎設施和功能穩定性。Aurora 于 2022 年 4 月在俄語論壇上首次發布，被宣傳為具有最先進的信息竊取和遠程訪問功能的僵尸網絡項目。

Aurora 通過 WMIC 運行多個命令以收集基本主機信息、拍攝桌面圖像并將所有內容發送到 C2。該惡意軟件的目標是存儲在多個瀏覽器（cookie、密碼、歷史記錄、信用卡）、加密貨幣瀏覽器擴展、加密貨幣錢包桌面應用程序和 Telegram 中的數據。目標桌面錢包應用程序包括 Electrum、Ethereum、Exodus、Zcash、Armory、Bytecoin、Guarda 和 Jaxx Liberty。

所有被盜數據都捆綁在一個 base64 編碼的 JSON 文件中，并通過 TCP 端口 8081 或 9865 上傳到 C2服務器。