Neobična hakerska kampanju kopiju VPN servisa za širenje AZORult-a trojanskog kradljivca

fishing

Istraživači kompanije Kaspersky otkrili su neobičnu zlonamernu kampanju koja koristi fišing kopiju veb-sajta popularnog VPN servisa za širenje AZORult-a, trojanskog kradljivca, pod maskom instalacionog programa za Windows. Kampanja, koja je započeta krajem novembra 2019. registracijom lažne veb-stranice, trenutno je aktivna i fokusirana na krađu ličnih podataka i kriptovaluta od zaraženih korisnika. To pokazuje da sajber kriminalci i dalje love kriptovalute, uprkos izveštajima koji pokazuju da je zainteresovanost za valute opala.

AZORult je jedan od najčešće kupljenih i prodavanih kradljivaca na ruskim forumima zbog širokog spektra mogućnosti. Ovaj trojanac predstavlja ozbiljnu pretnju onima čiji su računari zaraženi jer je u stanju da prikuplja razne podatke, uključujući istoriju pretraživača, kredencijale za prijavu, kolačiće, datoteke iz foldera, datoteke kripto-novčanika, a može se koristiti i za preuzimanje drugog malvera .
U svetu u kom se za privatnost vodi velika borba, VPN usluge igraju važnu ulogu omogućavajući dodatnu zaštitu podataka i bezbedno surfovanje internetom. Ipak, sajber kriminalci pokušavaju da zloupotrebe rastuću popularnost VPN-a lažnim predstavljanjem, kao što je slučaj u ovoj AZORult kampanji. U poslednjoj kampanji napadači su kreirali kopiju veb-sajta VPN usluge koja izgleda potpuno isto kao original, a jedina razlika je drugačije ime domena.

Linkovi ka domenu se šire reklamama putem različitih mreža banera, što se takođe naziva i „malvertizacijom”. Žrtva posećuje fišing veb-sajt i od nje se traži da preuzme besplatni instalacioni program za VPN. Nakon što žrtva preuzme lažni VPN instalacioni program za Windows, on ispušta kopiju AZORult botnet implanta. Čim je implant pokrenut, on sakuplja informacije o okruženju inficiranog uređaja i izveštava ih na server. Konačno, napadač krade kriptovalute iz lokalno dostupnih novčanika (Electrum, Bitcoin, Etherium i drugi), FTP prijave i lozinke iz FileZilla, kredencijale za i-mejl, informacije lokalno instaliranih pretraživača (uključujući kolačiće), kredencijale WinSCP,Pidgin mesindžera i drugih.

Nakon otkrića kampanje, kompanija Kaspersky je odmah obavestila VPN uslugu o problemu i blokirala lažnu veb-stranicu.
„Ova kampanja je dobar primer toga koliko su naši lični podaci ranjivi u današnje vreme. Da bi se zaštitili, korisnici moraju biti oprezni i biti posebno pažljivi prilikom onlajn surfovanja. Ovaj slučaj takođe pokazuje zašto su potrebna rešenja za sajber bezbednost na svim uređajima. Kada je u pitanju fišing kopija veb-sajtova, korisnici vrlo teško razlikuju stvarnu i lažnu verziju. Sajber kriminalci često koriste popularne brendove i ovaj trend verovatno neće prestati“, izjavio je Dmitri Bestužev (Dmitry Bestuzhev) šef GReAT tima za područje Latinske Amerike. „Toplo preporučujemo korišćenje VPN-a za zaštitu razmene podataka na internetu, ali je takođe važno da se pažljivo prouči odakle se preuzima VPN softver.“

Proizvodi kompanije Kaspersky detektuju ovu pretnju kao HEUR:Trojan-PSW.Win32.Azorult.gen

Kako biste umanjili rizik od infekcije trojanskim kradljivcima kao što je AZORult, iz kompanije Kaspersky preporučuju:

  • Proverite autentičnost veb-sajta. Ne posećujte veb-stranice dok se ne uverite da su legitimne i započinju sa „https“. Pre nego što počnete sa preuzimanjem, potvrdite da je veb-sajt legitiman, dvostrukom proverom formata URL-a ili pravopisa imena kompanije, čitanjem recenzija i proverom podataka o registraciji domena
  • Čuvajte kriptovalute u cold novčanicima (onima koji nisu povezani na internet) kako biste umanjili rizik od krađe
  • Pokušajte da čuvate lozinke i druge lične podatke, uključujući privatan ključ novčanika, u menadžeru lozinki – kao što je Kaspersky Password Manager. Aplikacija bezbedno skladišti vaše podatke u privatnom šifrovanom sefu.
  • Koristite pouzdano bezbednosno rešenje kao što je Kaspersky Security Cloud, koje štiti uređaje od širokog spektra pretnji, uključujući i fišing aktivnosti