Kaspersky-Forscher haben eine neue bösartige Kampagne entdeckt, die eine gefälschte Version der Website eines beliebten VPN-Dienstes nutzt, um den Trojaner-Stealer AZORult zu verbreiten, indem sie Benutzer dazu verleitet, zu glauben, sie würden ein Windows Installer-Programm herunterladen. AZORult ist aufgrund seiner breiten Palette an Fähigkeiten einer der häufigsten Diebe in russischen Hacking-Foren. Dieses Trojanische Pferd stellt eine ernsthafte Bedrohung für infizierte Computer dar, da es einem Angreifer ermöglicht, große Datenmengen zu sammeln, darunter Browserverlauf, Verbindungsinformationen, Cookies, Dateien und Ordner sowie Kryptowallet-Dateien, und es kann sogar als Loader zum Herunterladen anderer Malware verwendet werden . Da sich immer mehr Benutzer VPNs zuwenden, um ihre Online-Privatsphäre zu schützen, haben Cyberkriminelle begonnen, die wachsende Beliebtheit von VPNs auszunutzen, indem sie sich wie bei VPNs als solche ausgeben. Fall in dieser AZORult-Kampagne. In der von Kaspersky-Forschern entdeckten Kampagne erstellten Angreifer eine Kopie der ProtonVPN-Website, die wie die echte Website des Dienstes aussieht, außer dass sie einen anderen Domainnamen hat.
AZORult-Kampagne
Links zu gefälschten VPN-Websites werden durch Werbung über verschiedene Bannernetzwerke verbreitet, was auch als Malvertising bezeichnet wird. Wenn ein Opfer die Phishing-Website besucht, wird es aufgefordert, ein kostenloses VPN-Installationsprogramm herunterzuladen. Sobald ein Opfer jedoch das gefälschte Windows VPN-Installationsprogramm herunterlädt, legt es eine Kopie des AZORult-Botnet-Implantats ab. Sobald das Implantat aktiviert ist, sammelt es Informationen über die Umgebung des infizierten Geräts und meldet diese an einen von den Angreifern kontrollierten Server. Anschließend stehlen die Angreifer alle lokal auf dem Gerät gespeicherten Kryptowährungen aus Krypto-Wallets sowie FTP-Verbindungen, FileZilla-Passwörter, E-Mail-Anmeldeinformationen, Browserinformationen einschließlich Cookies und Anmeldeinformationen von WinSCPm, Pidgin Messenger und anderer Software. Nachdem Kaspersky die Kampagne entdeckt hatte, informierte es sofort ProtonVPN und blockierte die gefälschte Website in seiner Sicherheitssoftware. LaComparacion Pro hat auch ProtonVPN um eine Stellungnahme zu diesem Thema gebeten.- Schauen Sie sich auch unsere vollständige Liste der besten VPN-Dienste an