Gli esperti di Sekoia hanno seguito l’evoluzione di Aurora, fin dalla sua prima apparizione nel mese di aprile 2022. La botnet era offerta in abbonamento (malware-as-a-service), ma il suo sviluppo è stato abbandonato a luglio. Da fine agosto è rimasta solo una delle funzionalità, ovvero quella di info-stealer. Gli attacchi sono portati a termine da almeno sette gruppi di cybercriminali.
Aurora: info-stealer che ruba di tutto
Aurora è scritto in linguaggio Go, occupa solo 8,4 MB e viene venduto a 250 dollari/mese o 1.500 dollari una tantum su Telegram o forum nel dark web. Inizialmente era una botnet multi-purpose con funzionalità di stealer, downloader e RAT (Remote Access Trojan). A fine luglio sono stati disattivati tutti i server, quindi Aurora viene usato solo come info-stealer. La catena di infezione è variabile, ma nella maggioranza dei casi il malware viene distribuito tramite siti di phishing, YouTube e software pirata.
Quando eseguito, Aurora sfrutta WMIC (Windows Management Instrumentation Command) per raccogliere varie informazioni sul computer. Successivamente accede ai dati memorizzati nei browser (password, carte di credito, cookie, cronologia), alle app o estensioni dei wallet più noti (Electrum, Ethereum, Exodus, Zcash, Binance, Coinbase, MetaMask e altri) e a Telegram. Tutti i dati sono quindi inviati in forma cifrata al server C2 (command-and-control).
Aurora viene attualmente utilizzato da sette gruppi di cybercriminali, eventualmente insieme ad altri info-stealer, come RedLine e Raccoon. Fortunatamente il malware viene rilevato e bloccato dalla molte soluzioni di sicurezza, tra cui Bitdefender Total Security.