Trojanac AZORult inficira računare preko lažnih ProtonVPN instalacionih programa
Vesti, 20.02.2020, 02:30 AM

Istraživači Kapersky Laba otkrili su lažni web sajt ProtonVPN-a koji je od novembra prošle godine korišćen za širenje AZORult malvera.
ProtonVPN je virtuelna privatna mreža otvorenog koda (VPN) koju je razvio i kojom upravlja Proton Technologies AG, švajcarska kompanija koja stoji iza email servisa ProtonMail koji korisnicima nudi komunikaciju zaštićenu end-to-end enkripcijom.
AZORult je trojanac koji krade podatke se prodaje za oko 100 dolara na ruskim hakerskim forumima, a takođe se zna da se koristi i za preuzimanje drugih malvera u napadima koji se odvijaju u više faza.
Ovaj trojanac je mnogo puta ranije korišćen za širenje ransomwarea, krađu podataka i kripto-valuta.
AZORult je dizajniran da sa inficiranog uređaja prikupi i isporuči što više osetljivih informacija svojim operaterima, od fajlova, lozinki, kolačića i istorije pregledača do novčanika kripto-valute i lozinki za prijavu na bankovne račune.
Kako su otkrili istraživači kompanije Kaspersky, web sajt protonvpn[.]store, koji je korišćen za isporučivanje lažnih ProtonVPN instalacionih fajlova, registrovan je preko ruskog registra u novembru 2019. godine.
Tada je započela i ova kampanja distribucije AZORult trojanca, a u tu svrhu su korišćeni baneri kao jedan od početnih vektora infekcije.
“Kada žrtva poseti lažni web sajt i preuzme lažni ProtonVPN instalacioni program za Windows, dobija kopiju AZORult botnet implantata”, objašnjava istraživač Kaspersky Laba Dmitrij Bestuzhev.
Nakon što se lažni ProtonVPN instalacioni fajl pod nazivom ProtonVPN_win_v1.10.0 [.]exe pokrene i inficira računar, malver počinje sakupljati informacije o sistemu koje se šalju na server za komadnu i kontrolu (C2) na kome se nalazi i lažni sajt.
AZORult trojanac zatim prelazi na „krađu kripto-valuta iz lokalno dostupnih novčanika (Electrum, Bitcoin, Etherium itd.), FTP prijava i lozinki iz FileZilla, korisničkog imena i lozinke za email nalog, informacija iz instaliranih pregledača (uključujući kolačiće), lozinke za WinSCP, Pidgin mesendžer i druge.”
Ovo nije prvi put da napadači koriste lažne VPN sajtove kako bi širili malvere. Jedan od poznatijih slučajeva je bila savršena kopija web sajta NordVPN-a koji se koristio kao platforma za širenje bankarskog trojanca.
Lažni VPN pod nazivom “Pirate Chick VPN” korišćen je prošle godine za inficiranje računara trojancem AZORult.
Više detalja o ovoj najnovijoj kampanji možete naći na sajtu kompanije Kaspersky.

Izdvojeno
Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje
Kada sajber kriminal ubija: Bolnice na udaru ransomware-a
.jpg)
Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje
Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje
Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje
Microsoft najavio produžetak podrške za Windows 10 za godinu dana
.jpg)
Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje
Pratite nas
Nagrade