Pesquisadores de cibersegurança descobriram uma nova campanha de malware que utiliza páginas falsas do Google Sites e contrabando de HTML para distribuir um malware comercial chamado AZORult, com o objetivo de facilitar o roubo de informações. Ela usa uma técnica de contrabando de HTML não convencional, onde a carga maliciosa é embutida em um arquivo JSON separado hospedado em um site externo.

A campanha de phishing não foi atribuída a um ator ou grupo de ameaças específico. AZORult, também conhecido como PuffStealer e Ruzalto, é um ladrão de informações detectado pela primeira vez em 2016. É tipicamente distribuído por meio de campanhas de phishing e malspam, instaladores trojanizados para software ou mídia pirateada e malvertising.

Uma vez instalado, é capaz de coletar credenciais, cookies e histórico de navegadores da web, capturas de tela, documentos correspondentes a uma lista de extensões específicas (.TXT, .DOC, .XLS, .DOCX, .XLSX, .AXX e .KDBX) e dados de 137 carteiras de criptomoedas. A atividade de ataque mais recente envolve o ator de ameaça criando páginas falsas do Google Docs no Google Sites que, subsequentemente, utilizam contrabando de HTML para entregar a carga.