Cuidado: el instalador falso de ProtonVPN lidera la instalación del troyano AZORult

Anteriormente, AZORult Malware llegó a un dispositivo como parte de una campaña maliciosa a gran escala utilizada para difundir ransomware, datos y criptomonedas robando malware. Este es un virus troyano que está especialmente diseñado para recopilar información confidencial de archivos, contraseñas, cookies e historial del navegador, credenciales bancarias, billeteras de criptomonedas, etc.

Los investigadores de Kaspersky detectaron una nueva forma de distribución utilizada para propagar AZORult Malware. Lo que notaron es que un sitio llamado protonvpn.store que se utiliza para entregar instaladores falsos de ProtonVPN maliciosos. Cuando los usuarios usan este sitio para la instalación de VPN, esto lleva a la implantación de una copia de la botnet AZORult en su dispositivo.

«Cuando la víctima visita un sitio web falsificado y descarga un instalador falso de ProtonVPN para Windows, recibe una copia del implante de botnet AZORult».

Los atacantes crearon una copia idéntica del sitio web oficial ProtonVPN utilizando el rastreador web HTTrack de código abierto y la utilidad de descarga del sitio web. Luego, cuando el ejecutable falso llamado ProtonVPN_win_v1.10.0.exe se inicia con éxito en el dispositivo infectado, el malware se vuelve capaz de recopilar la información del sistema y entregarla al servidor de comando y control ubicado en el mismo servidor que el nombre de un sitio cuentas.protonvpn.store .

A partir de entonces, el troyano procede a «robar criptomonedas de billeteras disponibles localmente (Electrum, Bitcoin, Etherium, etc.), inicios de sesión FTP y contraseñas de FileZilla, credenciales de correo electrónico, información de navegadores instalados localmente (incluidas cookies), credenciales para WinSCP, mensajero Pidgin y otros.»

Esta no es la primera vez que se utilizan sitios VPN falsos para impulsar la carga útil de malware. Anteriormente, se utilizaba un clon perfecto del sitio web oficial del servicio NordVPN para entregar un troyano bancario, se usaba una VPN pirata VPN falsa para el troyano de robo de contraseñas AZORult, y también se usaba una VPN falsa para el troyano de robo de contraseñas Vidar y cryptBot.