Les chercheurs de Kaspersky ont découvert une nouvelle campagne malveillante qui utilise une fausse version du site Web d'un service VPN populaire pour diffuser le voleur de chevaux de Troie AZORult en faisant croire aux utilisateurs qu'ils téléchargent un programme Windows Installer. AZORult est l'un des escrocs les plus courants sur les forums de piratage russes en raison de son large éventail de capacités. Ce cheval de Troie constitue une menace sérieuse pour les ordinateurs infectés car il permet à un attaquant de collecter une grande quantité de données, y compris l'historique du navigateur, les informations de connexion, les cookies, les fichiers et dossiers, les fichiers de cryptowallet, et peut même être utilisé comme chargeur pour télécharger d'autres logiciels malveillants. Alors que de plus en plus d'utilisateurs se tournent vers les VPN pour protéger leur vie privée en ligne, les cybercriminels ont commencé à profiter de la popularité croissante des VPN en se faisant passer pour eux, comme c'est le cas. cas dans cette campagne AZORult. Dans la campagne découverte par les chercheurs de Kaspersky, les attaquants ont créé une copie du site Web ProtonVPN qui ressemble au site réel du service, sauf qu'il a un nom de domaine différent.
Campagne AZORult
Les liens vers le faux site Web VPN sont diffusés via des publicités sur différents réseaux de bannières, ce qui est également appelé malvertising. Lorsqu'une victime visite le site Web de phishing, elle est invitée à télécharger un programme d'installation VPN gratuit. Cependant, une fois qu'une victime télécharge le faux programme d'installation de Windows VPN, elle dépose une copie de l'implant de botnet AZORult. Une fois l'implant activé, il collecte des informations sur l'environnement de l'appareil infecté et les signale à un serveur contrôlé par les attaquants. Les attaquants volent ensuite toute crypto-monnaie stockée localement sur l'appareil à partir de portefeuilles cryptographiques, ainsi que des connexions FTP, des mots de passe FileZilla, des informations d'identification de messagerie, des informations de navigateur, y compris des cookies et des informations d'identification de WinSCPm, Pidgin Messenger et d'autres logiciels. Après avoir découvert la campagne, Kaspersky a immédiatement informé ProtonVPN et bloqué le faux site Web dans son logiciel de sécurité. TechRadar Pro a également contacté ProtonVPN pour une déclaration à ce sujet.- Consultez également notre liste complète des meilleurs services VPN