Serviço gratuito na web obscura gera binários do Azorult 3.0 e código de painel para operadores que fornecem apenas o endereço de comando e controle.
| Componente | Gazorp, construtor online para gerar amostras do malware Azorult e código de painel C2 associado. |
| Vetor | O operador informa um endereço de comando e controle, que é incorporado ao binário gerado; a distribuição posterior do arquivo depende da campanha do operador. |
| Impacto | As amostras produzidas correspondem ao Azorult 3.0, capaz de coletar senhas de usuários, dados de cartão, informações ligadas a criptomoedas e outros dados da vítima. |
| Prioridade | Tratar novas detecções de Azorult 3.0 como risco ativo, revisar telemetria de endpoint, bloquear comunicação C2 suspeita e reforçar resposta a roubo de credenciais. |
| Versões | Gazorp gera duplicatas funcionais do Azorult 3.0, embora versões 3.1 e 3.2 já tenham sido observadas posteriormente. |
| Artefatos | Azorult 3.0 cria mutex derivado do privilégio do usuário concatenado com d48qw4d6wq84d56as e usa chave XOR 0xfe, 0x29, 0x36 na comunicação com o C2. |
| Mitigação | Combinar detecção comportamental de infostealer, inspeção de conexões C2, revisão de credenciais potencialmente expostas e contenção de hosts que executem binários compatíveis. |
Gazorp é um construtor online hospedado na web obscura para criação de amostras do Azorult, um infostealer voltado à coleta de credenciais, dados de cartão, informações relacionadas a criptomoedas e outros artefatos sensíveis presentes no ambiente da vítima. O serviço reduz a barreira operacional para criminosos porque entrega um binário configurado e código de painel C2 a partir de uma entrada mínima: o endereço de comando e controle que será gravado no malware. A distribuição do binário não é definida pelo construtor; ela fica a cargo de quem usa o serviço, o que permite acoplamento a campanhas de phishing, downloads enganosos, instaladores trojanizados ou outros fluxos de entrega externos ao Gazorp.
A amostra produzida pelo Gazorp corresponde ao Azorult 3.0. Essa versão não era a mais recente no momento da análise, pois os ramos 3.1 e 3.2 já haviam sido liberados e observados em circulação. Mesmo assim, a obsolescência relativa não elimina o risco: a versão 3.0 ainda contém capacidades de roubo de informações e um fluxo de comunicação C2 suficiente para sustentar campanhas de coleta de dados. O valor adicional do Gazorp está no painel modificado, que inclui alterações de código, correções, mudanças visuais e recursos de estatística, ainda que parte das funcionalidades anunciadas apareça como incompleta ou planejada para fases futuras.
O lançamento do Gazorp ocorre em um contexto em que código de painel do Azorult 3.1 e 3.2 já havia vazado. Esse vazamento simplificou a criação de infraestrutura C2 por terceiros e também expôs uma lógica de construção rudimentar para versões recentes, baseada na inserção do endereço de C2 em um binário preparado. O Gazorp parece seguir uma lógica semelhante de comoditização: transformar componentes de malware e painel em um serviço acessível, gratuito e acompanhável por uma comunidade pública em canal de mensagens. Para defesa, o ponto central é que a disponibilidade gratuita tende a aumentar a diversidade de operadores, ainda que o núcleo técnico do malware gerado seja uma versão conhecida.
O fluxo operacional do Gazorp começa com o fornecimento de um endereço de C2 pelo operador. Esse valor é codificado no binário gerado, que passa a saber para onde reportar dados e de onde receber respostas. O serviço também entrega código de painel, manual e componentes associados, mas a cadeia de ataque completa depende de etapas fora do próprio construtor. Por esse motivo, a análise defensiva deve separar três camadas: a geração do artefato, a implantação da infraestrutura C2 e o mecanismo de entrega usado para alcançar vítimas. O Gazorp facilita as duas primeiras, mas não determina o vetor inicial de infecção.
O painel associado ao Gazorp recebeu alterações em relação ao painel do Azorult 3.0. As mudanças citadas incluem correções de vulnerabilidades e falhas, melhorias de desempenho, ajustes visuais e novos recursos. Na prática, o recurso concreto destacado é uma visão estatística global por país, apresentada como um mapa de distribuição. Outras áreas, como uma seção de módulos, configuração de painel e exportação de bases para arquivo, aparecem como funcionalidades prometidas ou ainda não implementadas. Isso indica um projeto em estágio inicial, identificado como versão 0.1, no qual o principal produto efetivamente entregue é um painel C2 modificado para uma família de malware já existente.
No binário, a identificação técnica reforça a associação com o Azorult 3.0. Essa versão cria um mutex no início da execução, combinando a autoridade do usuário atual com a cadeia d48qw4d6wq84d56as. A autoridade usa indicadores para administrador, usuário, sistema ou convidado, o que permite que a string final varie conforme o contexto de execução. A comunicação com o C2 é protegida por uma rotina XOR simples, com chave hardcoded 0xfe, 0x29, 0x36. A resposta descriptografada do C2 é interpretada por tags, mas os nomes dessas tags não estão disponíveis no material analisado; portanto, a defesa deve usar a existência desse padrão como pista comportamental, sem assumir campos específicos não confirmados.
A superfície exposta envolve estáções de trabalho, perfis de usuário e ambientes onde dados sensíveis possam estar disponíveis para coleta por um infostealer. O Azorult 3.0 gerado pelo Gazorp é relevante para endpoints Windows executando binários desconhecidos ou obtidos por canais não confiáveis, especialmente quando o usuário tem credenciais salvas, carteiras ou dados associados a criptomoedas, informações de cartão ou sessões autenticadas. Como o construtor apenas embute o C2 e entrega artefatos, a superfície real de cada campanha depende do método de distribuição escolhido pelo operador.
Equipes de segurança devem considerar que o uso de uma versão antiga não significa baixa prioridade automática. Malware comoditizado e tecnicamente conhecido continua útil quando é fácil de gerar, gratuito e acompanhado de painel funcional. O risco aumenta em organizações com controles fracos de execução, ausência de bloqueio por reputação, telemetria limitada em endpoints e baixo monitoramento de tráfego de saída. Também há exposição indireta em ambientes de desenvolvimento e administração quando credenciais de sistemas internos, tokens de serviços, dados de navegador ou material de carteira digital ficam acessíveis no perfil do usuário comprometido.
- Endpoints que executem binários desconhecidos capazes de criar mutex compatível com o padrão do Azorult 3.0.
- Perfis de usuário com senhas armazenadas, dados de cartão, informações de criptomoedas ou sessões persistentes em navegador.
- Redes que permitam tráfego de saída para C2 não classificado sem inspeção, bloqueio ou correlação com eventos de endpoint.
- Ambientes com baixa visibilidade sobre criação de processos, persistência, comunicação cifrada simples e coleta de artefatos locais.
A caça deve priorizar a correlação entre execução de binários suspeitos, criação de mutex característico, conexões externas para infraestrutura não reconhecida e comportamento de coleta local. O artefato d48qw4d6wq84d56as, quando concatenado a indicadores de privilégio do usuário, é um sinal útil para triagem, mas não deve ser tratado isoladamente como prova completa de comprometimento. Ele deve ser combinado com árvore de processos, origem do arquivo, reputação, caminho em disco, timestamp de criação, conexões de rede e eventos de acesso a áreas onde navegadores, carteiras ou credenciais possam armazenar dados.
Na rede, a comunicação C2 do Azorult 3.0 usa uma rotina XOR simples com chave hardcoded. Essa característica pode apoiar análise de tráfego e engenharia reversa defensiva, especialmente quando a organização coleta metadados de conexão, destino, volume e periodicidade. Como o endereço de C2 é fornecido pelo operador no momento de geração, não há um domínio universal a ser bloqueado. A defesa deve procurar padrões de beaconing, POSTs ou requisições suspeitas para domínios recém-observados, destinos de baixa reputação e endpoints que iniciem comunicação logo após a execução de um binário sem histórico confiável.
Também é importante monitorar sinais de painel e infraestrutura quando a organização faz threat intelligence externa. O Gazorp inclui código de painel C2 e uma página com estatísticas por país, mas a detecção da infraestrutura não deve depender de um único elemento visual. Alterações no painel, diretórios adicionados e recursos incompletos podem variar com novas compilações do serviço. Para resposta a incidente, a telemetria mais confiável continuará sendo a cadeia local no host: execução, mutex, comportamento de coleta, conexão externa e possível compressão ou envio de dados ao servidor definido pelo operador.
- Criação de mutex contendo
d48qw4d6wq84d56asassociado ao contexto de privilégio do usuário. - Processos recém-criados a partir de diretórios temporários, downloads, anexos ou locais de baixa confiança seguidos de conexão externa.
- Tráfego de saída para destinos sem histórico, especialmente quando ocorre imediatamente após execução de binário suspeito.
- Acesso anômalo a armazenamentos de credenciais, dados de navegador, informações de cartão ou artefatos de criptomoedas no perfil do usuário.
- Amostras que implementem comunicação com C2 protegida por XOR simples usando a chave
0xfe, 0x29, 0x36.
A resposta deve começar pela contenção de endpoints com sinais consistentes de execução do Azorult 3.0. O host deve ser isolado da rede, preservando evidências de processo, arquivos, conexões, mutex e artefatos de usuário para análise. Como o impacto principal é roubo de informação, a contenção técnica precisa ser acompanhada por rotação de credenciais associadas ao usuário afetado, invalidação de sessões, revisão de acessos recentes e verificação de contas com privilégios administrativos. Quando houver exposição de dados de cartão ou material de criptomoedas, a organização deve seguir o processo interno de resposta, compliance e notificação aplicável.
A prevenção deve combinar bloqueio de execução, filtragem de tráfego e hardening de identidade. Controles de aplicação reduzem a chance de binários gerados por serviços como Gazorp serem executados fora de caminhos autorizados. Proteções de endpoint devem tratar infostealers conhecidos como ameaça de alta prioridade, mesmo em versões antigas. No perímetro e em DNS, a defesa deve bloquear destinos suspeitos, registrar domínios recém-observados e correlacionar tentativas de comunicação com alertas locais. Em identidade, autenticação multifator, menor privilégio e rotação após incidente reduzem o valor operacional das credenciais coletadas.
A organização também deve revisar a exposição de dados sensíveis em estáções de trabalho. Senhas persistidas em navegadores, carteiras digitais no perfil do usuário e tokens mantidos sem proteção aumentam o impacto de qualquer infostealer. Para engenharia e operações, é recomendável separar credenciais privilegiadas, evitar armazenamento local desnecessário e registrar acessos de ferramentas administrativas. Em paralelo, as equipes de threat intelligence podem acompanhar a evolução do Gazorp porque o projeto se apresenta como gratuito, recebe sugestões por canal público e promete novos módulos. Essa combinação pode gerar variantes futuras, mas qualquer atualização defensiva deve se basear em artefatos confirmados, não em funcionalidades apenas anunciadas.
- Isolar endpoints com execução suspeita e preservar evidências antes de limpeza ou reinstalação.
- Rotacionar credenciais do usuário afetado, invalidar sessões e revisar acessos recentes após qualquer detecção confirmada.
- Bloquear execução de binários não autorizados em diretórios de download, temporários e áreas graváveis pelo usuário.
- Monitorar e bloquear comunicação de saída para C2 desconhecido, correlacionando DNS, proxy, EDR e eventos de processo.
- Reduzir dados sensíveis armazenados localmente, especialmente senhas, sessões persistentes e artefatos de criptomoedas.
- Atualizar detecções para cobrir mutex, comportamento de coleta, comunicação XOR simples e padrões conhecidos do Azorult 3.0.
0 Comentários