# AZORult > [!danger] Resumo > Infostealer comercial de origem ex-URSS disponibilizado em forums russos desde 2016, vendido por ~$100 USD. Roba credenciais de browsers, carteiras de criptomoedas, clientes FTP, e-mail e Steam. Em julho 2018 foi usado em campanha de spearphishing contra alvos norte-americanos; versao 3.2 inclui condicional loader que baixa ransomware Hermes após exfiltração de credenciais. Ultima versao documentada: v3.3 (outubro 2018). ## Visão Geral O [[s0344-azorult|AZORult]] e um Trojan comercial de roubo de informações documentado pela primeira vez em julho de 2016 pela Proofpoint como payload secundario do banking Trojan Chthonic. Vendido em forums russos underground por aproximadamente $100 USD, o AZORult tornou-se uma das ferramentas de roubo de credenciais mais amplamente distribuidas, sendo adotado por grupos de diferentes niveis de sofisticacao - desde operadores de exploit kits até grupos APT. O ciclo de vida tecnico do [[s0344-azorult|AZORult]] e eficiente: ao ser executado, gera um ID único da maquina vitima (combinando Machine GUID, nome do produto, usuario e nome do computador) e usa esse ID como chave XOR para a comunicação inicial com o C2. O servidor responde com dados de configuração codificados em XOR/Base64 que incluem caminhos de perfil de navegadores, APIs alvo e queries SQLite para extrair senhas salvas. Após harvesting, os dados sao comprimidos e enviados ao painel PHP do C2 via HTTP POST. As versoes 3.1 e 3.2 do código-fonte vazaram públicamente, resultando em proliferacao massiva de variantes customizadas. O [[ta516|TA516]] usou a versao 3.2 (julho 2018) para distribuir simultaneamente o AZORult e o ransomware Hermes 2.1, explorando o loader condicional baseado em presenca de cookies e carteiras crypto. Uma variante de 2019 disfarfava-se de atualização do Google Chrome (`GoogleUpdaté.exe`) para estabelecer persistência e conexão RDP oculta via conta admin escondida. **Plataformas:** Windows ## Como Funciona 1. **Entrega**: Phishing/malspam com documentos protegidos por senha (evasão de AV), exploit kits (Fallout, RIG), ou droppers (Ramnit, Emotet) 2. **Execução**: Process hollowing em processo filho de si mesmo com payload decifrado em memoria 3. **Coleta**: Harvesting de credenciais de browsers (Chrome, Firefox, Edge), FTP (FileZilla), e-mail (Outlook), Steam, Telegram, Skype e carteiras crypto 4. **Comúnicação**: POST cifrado com XOR para painel PHP do C2; servidor responde com configuração adicional 5. **Exfiltração**: Relatorio estruturado com credenciais, screenshots e informações do sistema 6. **Loader**: Em versoes 3.2+, baixa e executa payloads adicionais (ransomware Hermes, outros stealers) ## Attack Flow - AZORult ```mermaid graph TB A["Entrega<br/>Phishing com doc protegido<br/>por senha ou exploit kit"] --> B["Execução<br/>Process hollowing<br/>payload em memoria"] B --> C["Reconhecimento<br/>GUID, SO, usuario,<br/>idioma, arquitetura"] C --> D["Harvesting de Credenciais<br/>Browsers, FTP, e-mail,<br/>Steam, carteiras crypto"] D --> E["Captura Adicional<br/>Screenshots, historico<br/>de navegacao, cookies"] E --> F["Exfiltração<br/>POST cifrado XOR<br/>para painel PHP C2"] F --> G["Loader Condicional<br/>Se crypto/senhas encontradas<br/>baixa ransomware ou RAT"] ``` ## Timeline de Atividade ```mermaid timeline title AZORult - Evolução 2016-07 : Primeira análise pela Proofpoint como payload do Chthonic 2018-07 : Versao 3.2 com loader condicional - TA516 usa com Hermes ransomware 2018-10 : Versao 3.3 vazada e nova criptografia de dominio C2 2019-11 : Kaspersky reporta campanha via fake VPN para roubo de crypto 2020-02 : Campanha com mapa falso de COVID-19 (Johns Hopkins spoofing) 2020-04 : HHS/HC3 alerta setor de saude sobre AZORult em contexto COVID 2025-01 : Ultimo avistamento documentado pela anyrun.de ``` ## TTPs - AZORult | Tática | Técnica | Descrição | |--------|---------|-----------| | Execução | [[t1055-012-process-hollowing\|T1055.012]] | Payload decifrado injetado em processo filho | | Evasão | [[t1070-004-file-deletion\|T1070.004]] | Auto-delecao após exfiltração (sem persistência) | | Evasão | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Decifracao XOR do conteudo | | Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Chrome, Firefox, Edge, IE | | Credenciais | [[t1552-001-credentials-in-files\|T1552.001]] | Skype, Telegram, Steam, FileZilla | | Privilegio | [[t1134-002-create-process-with-token\|T1134.002]] | WTSQueryUserToken + CreateProcessAsUser | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | XOR para comunicação com C2 | | Descoberta | [[t1082-system-information-discovery\|T1082]] | GUID, arquitetura, SO, idioma, GPU | | Coleta | [[t1113-screen-capture\|T1113]] | Screenshots do ambiente comprometido | ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil > **AZORult** representa a classe de infostealers comerciais ex-soviéticos que atingem o Brasil como parte de campanhas globais de malspam. O setor financeiro brasileiro, com alta adoção de internet banking, é alvo frequente de stealers que roubam **cookies de sessão bancária** e credenciais salvas em navegadores. A característica de loader condicional do AZORult v3.2 — que combina roubo de credenciais com **ransomware subsequente** — cria ameaça de duplo impacto. Grupos de crime cibernético brasileiros adquirem builds de infostealers como AZORult em fóruns underground para campanhas locais com lures em português. O [[s0344-azorult|AZORult]] representa a classe de infostealers comerciais ex-soviéticos que frequentemente atingem o Brasil como parte de campanhas globais de malspam. O setor financeiro brasileiro, com alta adocao de internet banking, e alvo frequente de stealers que roubam cookies de sessao bancaria e credenciais salvas em navegadores. A caracteristica de loader condicional do AZORult v3.2 - que pode combinar roubo de credenciais com ransomware subsequente - cria ameaça de duplo impacto: perda de credenciais seguida de criptografia de dados. Grupos de crime cibernetico que operam no Brasil frequentemente adquirem builds pre-compilados de infostealers como AZORult em forums underground para campanhas locais, adaptando lures para portugues brasileiro. ## Detecção > [!tip] Indicadores de Detecção > - Processo criando filho de si mesmo via process hollowing - processo filho com mesma imagem executavel > - HTTP POST com corpo XOR-cifrado para URIs `/gaté.php`, `/panel.php` ou padroes similares em servidores externos nao categorizados > - Acesso sequencial rapido a arquivos de perfil de múltiplos navegadores, clientes FTP e aplicativos de e-mail > - Criação de conta admin oculta + modificacao de chave de registro para habilitar RDP (variante 2019) > - YARA: String identificadora `YUIPWDFILE0YUIPKDFILE0YUICRYPTED0YUI1.0` na memoria do processo ## Referências - [1](https://attack.mitre.org/software/S0344/) MITRE ATT&CK - AZORult S0344 (2025) - [2](https://www.proofpoint.com/us/threat-insight/post/new-version-azorult-stealer-improves-loading-features-spreads-alongside) Proofpoint - New Version AZORult Stealer (2018) - [3](https://www.hhs.gov/sites/default/files/azorult-malware.pdf) HHS/HC3 - AZORult Malware Advisory TLP:WHITE (2020) - [4](https://research.checkpoint.com/2018/the-emergence-of-the-new-azorult-3-3/) Check Point - Emergence of AZORult 3.3 (2018) - [5](https://blogs.blackberry.com/en/2019/06/threat-spotlight-analyzing-azorult-infostealer-malware) BlackBerry - Threat Spotlight: Analyzing AZORult (2019) - [6](https://www.kaspersky.com/about/press-releases/new-azorult-campaign-abuses-popular-vpn-service-to-steal-cryptocurrency) Kaspersky - AZORult Campaign VPN Phishing para Crypto (2020)