Энтони Спадафора 21 февраля 2020

Киберпреступники наживаются на растущей популярности услуг VPN

Хакеры олицетворяют лучшие VPN для кражи криптовалюты

Исследователи из Kaspersky обнаружили новую вредоносную кампанию, которая использует поддельную версию веб-сайта популярного VPN-сервиса для распространения троянского кражи AZORult, заставляя пользователей думать, что они загружают установщик Windows.

AZORult является одним из наиболее распространенных воровщиков на российских хакерских форумах благодаря своим широким возможностям. Этот троянец представляет серьезную угрозу для зараженных компьютеров, поскольку позволяет злоумышленнику собирать множество данных, включая историю браузера, учетные данные для входа в систему, файлы cookie и файлы, папки, файлы криптовалюты, и даже может использоваться в качестве загрузчика для загрузки других вредоносных программ.

Поскольку все больше пользователей обращаются к VPN для защиты своей конфиденциальности в Интернете, киберпреступники начали злоупотреблять растущей популярностью VPN, выдавая себя за них, как в случае с этой кампанией AZORult.

В ходе кампании, обнаруженной исследователями Касперского, злоумышленники создали копию сайта ProtonVPN, который выглядит идентично реальному сайту службы, за исключением того факта, что у него другое доменное имя.

Кампания AZORult

Ссылки на поддельный VPN-сайт распространяются через рекламные объявления через различные баннерные сети, что также упоминается как вредоносная реклама.

Когда жертва заходит на фишинговый веб-сайт, им предлагается загрузить бесплатный установщик VPN. Однако, как только жертва загружает поддельный установщик VPN для Windows, она сбрасывает копию импланта ботнета AZORult. После того, как имплантат активирован, он собирает информацию об окружении зараженного устройства и сообщает о ней на сервер, контролируемый злоумышленниками.

Затем злоумышленники крадут любую криптовалюту, хранящуюся локально на устройстве, из криптовалют, а также с помощью логинов FTP, паролей из FileZilla, учетных данных электронной почты, информации из браузеров, включая файлы cookie и учетные данные из WinSCPm, Pidgin messenger и другого программного обеспечения.

Обнаружив кампанию, Kaspersky немедленно сообщил ProtonVPN и заблокировал поддельный веб-сайт в своем программном обеспечении безопасности.

Энди Йен сказал, что основатель и генеральный директор ProtonVPN TechRadar Pro как компания работает, чтобы ограничить влияние кампании в заявлении, сказав:

«Это подчеркивает важность того, чтобы никогда не загружать приложение из неофициального источника. Перед загрузкой приложения пользователи должны всегда проверять адрес веб-сайта, название приложения и разработчика приложения, чтобы убедиться, что оно подлинное. В этом случае оказывается, что поддельное приложение было разработано для кражи пользовательской информации, в частности данных, касающихся криптовалют. Kaspersky заблокировал поддельный веб-сайт и сообщил нам о проблеме, как только они обнаружили вредоносное ПО. Мы немедленно запросили удаление домена, чтобы ограничить влияние кампании. Мы также опубликовали руководство о том, что делать, если вы случайно загрузили поддельную версию наших приложений ».

  • Также ознакомьтесь с нашим полным списком лучших услуг VPN
NET.Гаджет 2023