Asruex è apparso per la prima volta nel 2015 ed è stato associato al gruppo DarkHotel, noto per aver colpito diverse strutture nel settore alberghiero e dei servizi. La nuova variante rilevata fa uso delle seguenti (vecchie) vulnerabilità:
- CVE-2012-0158 è una vulnerabilità critica di esecuzione di codice in modalità remota (RCE) che ha interessato Microsoft Office.
- CVE-2010-2883 relativa ad un difetto di buffer overflow presente su Adobe reader e Acrobat 9.x su Windows e Mac OS X, che consente agli aggressori remoti di eseguire codice arbitrario o causare un crash dell’applicazione tramite un documento PDF.
Questa variante di malware ha capacità di infezione su sistemi target che hanno utilizzato versioni precedenti di Adobe Reader (precedenti alla 9.4) e Acrobat (precedenti alla 8.2.5) su Windows e Mac OS X.
Asruex infetta un sistema attraverso un file di collegamento che ha uno script di download di PowerShell e si diffonde attraverso unità rimovibili e unità di rete. Il diagramma seguente illustra la catena di infezione del malware.
Una volta eseguito su una macchina, Asruex rileva se avast! Sandbox \ WINDOWS \ system32 \ kernel32.dll esiste e controlla anche se viene eseguito in un ambiente sandbox verificando:
- Nomi di computer e nomi utente
- Funzioni esportate da moduli caricati
- Nomi dei file
- Processi in esecuzione
- Versione del modulo del processo in esecuzione
- Alcune stringhe nei nomi dei dischi
Se il PC supera questi controlli, viene installata la backdoor del malware e può iniziare le attività malevoli che si concentrano nel carpire dati. Asruex può anche essere usato come strumento di sorveglianza.
