Исследователи «Лаборатории Касперского» обнаружили новую вредоносную кампанию, которая использует поддельную версию веб-сайта популярного VPN-сервиса для распространения трояна-стилера AZORult, заставляя пользователей думать, что они загружают программу-установщик Windows. AZORult — один из самых распространенных воров на российских хакерских форумах благодаря своим широким возможностям. Этот троянский конь представляет серьезную угрозу для зараженных компьютеров, поскольку позволяет злоумышленнику собирать большой объем данных, включая историю браузера, информацию о подключениях, файлы cookie, файлы и папки, файлы криптокошелька, и даже может использоваться в качестве загрузчика для загрузки других вредоносных программ. . Поскольку все больше и больше пользователей обращаются к VPN для защиты своей конфиденциальности в Интернете, киберпреступники начали пользоваться растущей популярностью VPN, выдавая себя за них, как в случае с VPN. случай в этой кампании AZORult. В ходе кампании, обнаруженной исследователями «Лаборатории Касперского», злоумышленники создали копию веб-сайта ProtonVPN, которая выглядит как настоящий сайт службы, за исключением того, что у нее другое доменное имя.
Кампания AZORult
Ссылки на поддельный веб-сайт VPN распространяются через рекламу в различных баннерных сетях, что также называется вредоносной рекламой. Когда жертва посещает фишинговый сайт, ей предлагается загрузить бесплатный установщик VPN. Однако, как только жертва загружает поддельный установщик Windows VPN, она теряет копию имплантата ботнета AZORult. После активации имплантат собирает информацию об окружении зараженного устройства и передает ее на сервер, контролируемый злоумышленниками. Затем злоумышленники крадут любую криптовалюту, хранящуюся локально на устройстве, из криптокошельков, а также FTP-соединения, пароли FileZilla, учетные данные электронной почты, информацию браузера, включая файлы cookie и учетные данные из WinSCPm, мессенджера Pidgin и другого программного обеспечения. Обнаружив кампанию, Касперский немедленно сообщил об этом ProtonVPN и заблокировал поддельный веб-сайт с помощью своего защитного программного обеспечения. LaComparacion Pro также связался с ProtonVPN для получения заявления по этому поводу.- Также ознакомьтесь с нашим полным списком лучших VPN-сервисов.