Los hackers pretenden ser la mejor VPN para robar criptomonedas



Los investigadores de Kaspersky han descubierto una nueva campaña maliciosa que utiliza una versión falsa del sitio web de un popular servicio VPN para propagar al ladrón de troyanos AZORult engañando a los usuarios para que piensen que están descargando un programa de Instalación de ventanas. AZORult es uno de los ladrones más comunes en los foros de piratería rusos debido a su amplia gama de capacidades. Este caballo de Troya representa una grave amenaza para las computadoras infectadas porque permite que un atacante recopile una gran cantidad de datos, incluidos el historial del navegador, la información de conexión, las cookies, los archivos y carpetas, archivos cryptowallet e incluso se puede usar como cargador para descargar otro malware. A medida que más y más usuarios han recurrido a las VPN para proteger su privacidad en línea, los ciberdelincuentes han comenzado a aprovechar la creciente popularidad de las VPN al hacerse pasar por ellas, como es el caso. caso en esta campaña de AZORult. En la campaña descubierta por los investigadores de Kaspersky, los atacantes crearon una copia del sitio web ProtonVPN que se parece al sitio real del servicio, excepto que tiene un nombre de dominio diferente.

Campaña AZORult

Los enlaces al sitio web falso de VPN se transmiten a través de anuncios a través de diferentes redes de pancartas, lo que también se denomina publicidad maliciosa. Cuando una víctima visita el sitio web de phishing, se le pide que descargue un instalador de VPN gratuito. Sin embargo, una vez que una víctima descarga el falso instalador de VPN para Windows, suelta una copia del implante de botnet AZORult. Una vez que se activa el implante, recopila información sobre el entorno del dispositivo infectado y lo informa a un servidor controlado por los atacantes. Luego, los atacantes roban cualquier criptomoneda almacenada localmente en el dispositivo de billeteras de cifrado, así como conexiones FTP, contraseñas de FileZilla, credenciales de correo electrónico, información del navegador, incluyendo cookies y credenciales de WinSCPm, Pidgin messenger y otro software. Después de descubrir la campaña, Kaspersky informó inmediatamente a ProtonVPN y bloqueó el sitio web falso en su software de seguridad. LaComparacion Pro también contactó a ProtonVPN para una declaración sobre este asunto.