Trojanac AZORult inficira računare preko lažnih ProtonVPN instalacionih programa

Vesti, 20.02.2020, 02:30 AM

Trojanac AZORult inficira računare preko lažnih ProtonVPN instalacionih programa

Istraživači Kapersky Laba otkrili su lažni web sajt ProtonVPN-a koji je od novembra prošle godine korišćen za širenje AZORult malvera.

ProtonVPN je virtuelna privatna mreža otvorenog koda (VPN) koju je razvio i kojom upravlja Proton Technologies AG, švajcarska kompanija koja stoji iza email servisa ProtonMail koji korisnicima nudi komunikaciju zaštićenu end-to-end enkripcijom.

AZORult je trojanac koji krade podatke se prodaje za oko 100 dolara na ruskim hakerskim forumima, a takođe se zna da se koristi i za preuzimanje drugih malvera u napadima koji se odvijaju u više faza.

Ovaj trojanac je mnogo puta ranije korišćen za širenje ransomwarea, krađu podataka i kripto-valuta.

AZORult je dizajniran da sa inficiranog uređaja prikupi i isporuči što više osetljivih informacija svojim operaterima, od fajlova, lozinki, kolačića i istorije pregledača do novčanika kripto-valute i lozinki za prijavu na bankovne račune.

Kako su otkrili istraživači kompanije Kaspersky, web sajt protonvpn[.]store, koji je korišćen za isporučivanje lažnih ProtonVPN instalacionih fajlova, registrovan je preko ruskog registra u novembru 2019. godine.

Tada je započela i ova kampanja distribucije AZORult trojanca, a u tu svrhu su korišćeni baneri kao jedan od početnih vektora infekcije.

“Kada žrtva poseti lažni web sajt i preuzme lažni ProtonVPN instalacioni program za Windows, dobija kopiju AZORult botnet implantata”, objašnjava istraživač Kaspersky Laba Dmitrij Bestuzhev.

Nakon što se lažni ProtonVPN instalacioni fajl pod nazivom ProtonVPN_win_v1.10.0 [.]exe pokrene i inficira računar, malver počinje sakupljati informacije o sistemu koje se šalju na server za komadnu i kontrolu (C2) na kome se nalazi i lažni sajt.

AZORult trojanac zatim prelazi na „krađu kripto-valuta iz lokalno dostupnih novčanika (Electrum, Bitcoin, Etherium itd.), FTP prijava i lozinki iz FileZilla, korisničkog imena i lozinke za email nalog, informacija iz instaliranih pregledača (uključujući kolačiće), lozinke za WinSCP, Pidgin mesendžer i druge.”

Ovo nije prvi put da napadači koriste lažne VPN sajtove kako bi širili malvere. Jedan od poznatijih slučajeva je bila savršena kopija web sajta NordVPN-a koji se koristio kao platforma za širenje bankarskog trojanca.

Lažni VPN pod nazivom “Pirate Chick VPN” korišćen je prošle godine za inficiranje računara trojancem AZORult.

Više detalja o ovoj najnovijoj kampanji možete naći na sajtu kompanije Kaspersky.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Istraživači kompanije Group-IB upozoravaju na novu verziju Android malvera RedHook, koja koristi funkciju Wireless ADB kako bi stekla privilegije zn... Dalje

Microsoft: očekujte više Windows ažuriranja jer veštačka inteligencija pronalazi više propusta

Microsoft: očekujte više Windows ažuriranja jer veštačka inteligencija pronalazi više propusta

Microsoft je upozorio korisnike da u narednom periodu mogu očekivati veći broj bezbednosnih ažuriranja za Windows, jer kompanija sve intenzivnije k... Dalje

Metin novi alat omogućava drugima da koriste vaše javne Instagram fotografije za generisanje AI sadržaja

Metin novi alat omogućava drugima da koriste vaše javne Instagram fotografije za generisanje AI sadržaja

Meta je predstavila novi model veštačke inteligencije za generisanje slika pod nazivom Muse Image, koji može da koristi javne objave i Reels sadrž... Dalje

Nova pravila za Chrome ekstenzije: manje prikupljanja podataka, više transparentnosti

Nova pravila za Chrome ekstenzije: manje prikupljanja podataka, više transparentnosti

Google je najavio značajne izmene pravila za Chrome ekstenzije koje će od programera zahtevati znatno veću transparentnost u vezi sa prikupljanjem ... Dalje

AI agent prvi put bez ljudske intervencije izvršio kompletan ransomware napad

AI agent prvi put bez ljudske intervencije izvršio kompletan ransomware napad

Za ransomware napade ljudi više nisu potrebni: po prvi put, agent veštačke inteligencije je samostalno izvršio ransomware napad, iskorišćavajuc... Dalje