Cybercriminelen jagen nog altijd op cryptovaluta. Kaspersky ontdekte een ongewoon schadelijke campagne waarbij een phishing-kopie van de website van een populaire VPN-service wordt gebruikt om AZORult te verspreiden. Deze zogeheten ‘stealer trojan’ is vermomd als installatieprogramma voor Windows en richt zich op het stelen van persoonsgegevens en cryptovaluta van besmette gebruikers. Dit laat zien dat cybercriminelen nog altijd jagen op cryptovaluta, ondanks berichten dat hier geen belangstelling meer voor zou zijn.In een wereld waarin hard wordt gevochten voor privacy, spelen VPN-diensten een belangrijke rol. Juist daarom proberen cybercriminelen misbruik te maken van de groeiende populariteit van deze diensten door zich voor te doen als een VPN, zoals ook het geval is in deze AZORult-campagne. De aanvallers hebben voor deze nieuwste campagne een kopie gecreëerd van een website van een populaire VPN-dienst, die er exact zo uitziet als het origineel en alleen een andere domeinnaam heeft.
AZORult verzamelt diverse data, waaronder de browsergeschiedenis, logingegevens, cookies, bestanden uit mappen en cryptowallets. Bovendien kan de trojan worden gebruikt als loaderbestand om andere malware te downloaden.
Links naar het domein worden op verschillende bannernetwerken verspreid via advertenties, ook wel ‘malvertizing’ genoemd. Het slachtoffer bezoekt de phishing-website en wordt gevraagd een gratis VPN-installer te downloaden. Zodra een slachtoffer dat doet voor Windows, ontvangt hij een kopie van het AZORult botnet-implantaat. Wordt dit implantaat geopend, dan verzamelt het de informatie op de omgeving van het besmette apparaat en stuurt het die door naar de server. Uiteindelijk steelt de aanvaller cryptovaluta van lokaal beschikbare wallets (Electrum, Bitcoin, Etherium en andere), FTP-logins, wachtwoorden van FileZilla, e-mailgegevens, informatie van lokaal geïnstalleerde browsers (inclusief cookies), gegevens van WinSCP, Pidgin messenger en meer.
Direct na de ontdekking van de campagne informeerde Kaspersky de betreffende VPN-dienst over het probleem en blokkeerde het de valse website.
Jornt van der Wiel, beveiligingsexpert bij Kaspersky: “Dit is een goed voorbeeld van hoe kwetsbaar onze persoonlijke data tegenwoordig zijn, maar ook waarom op elk apparaat cyberbeveiligingsoplossingen nodig zijn. Voor de gebruiker is het erg moeilijk om onderscheid te maken tussen een echte versie van een website en een phishing-kopie. Wij raden aan om de data-uitwisseling op internet te beschermen met een VPN, maar het is ook belangrijk om goed te onderzoeken van waar deze VPN-software wordt gedownload.”
Deze dreiging word gezien als HEUR:Trojan-PSW.Win32.Azorult.gen