网络犯罪分子越来越多地转向一种名为“Aurora”的基于 Go 的新型信息窃取程序,以从浏览器和加密货币应用程序中窃取敏感信息,直接从磁盘中窃取数据,并加载额外的有效负载。根据网络安全公司 SEKOIA的说法,至少有七个活跃的著名网络团伙专门采用了Aurora,或者与另外两个已建立的信息窃取恶意软件系列 Redline 和 Raccoon 一起采用。

Aurora 受欢迎程度突然上升的原因是它的低检测率和普遍未知的状态,使得它的感染不太可能被发现。Aurora 提供了先进的数据窃取功能以及可能的基础设施和功能稳定性。Aurora 于 2022 年 4 月在俄语论坛上首次发布,被宣传为具有最先进的信息窃取和远程访问功能的僵尸网络项目。

Aurora 通过 WMIC 运行多个命令以收集基本主机信息、拍摄桌面图像并将所有内容发送到 C2。该恶意软件的目标是存储在多个浏览器(cookie、密码、历史记录、信用卡)、加密货币浏览器扩展、加密货币钱包桌面应用程序和 Telegram 中的数据。目标桌面钱包应用程序包括 Electrum、Ethereum、Exodus、Zcash、Armory、Bytecoin、Guarda 和 Jaxx Liberty。

所有被盗数据都捆绑在一个 base64 编码的 JSON 文件中,并通过 TCP 端口 8081 或 9865 上传到 C2服务器。