Attenzione: il programma di installazione Fake ProtonVPN guida l’installazione del trojan AZORult

In precedenza, AZORult Malware è arrivato su un dispositivo come parte di campagne maligne su larga scala utilizzate per diffondere ransomware, dati e criptovaluta rubando malware. Questo è un virus Trojan appositamente progettato per raccogliere informazioni sensibili da file, password, cookie e cronologia del browser, credenziali bancarie, portafogli di criptovaluta e così via.

I ricercatori di Kaspersky hanno rilevato un nuovo modo di distribuzione utilizzato per la diffusione di malware AZORult. Quello che hanno notato è che un sito chiamato protonvpn.store che viene utilizzato per fornire programmi di installazione ProtonVPN falsi dannosi. Quando questo sito viene utilizzato dagli utenti per l’installazione della VPN, porta all’impianto di una copia della botnet AZORult sul proprio dispositivo.

“Quando la vittima visita un sito Web contraffatto e scarica un falso installatore ProtonVPN per Windows, riceve una copia dell’impianto botnet AZORult”,

Gli aggressori hanno creato una copia identica del sito Web ufficiale di ProtonVPN utilizzando l’utilità di crawler Web e downloader di siti Web HTTrack open source. Dopo che il falso eseguibile denominato ProtonVPN_win_v1.10.0.exe viene avviato correttamente sul dispositivo infetto, il malware diventa in grado di raccogliere le informazioni di sistema e inviarle al comando e al controllo del server situato sullo stesso server di un nome di sito account.protonvpn.store .

Successivamente il Trojan procede a “rubare criptovaluta da portafogli disponibili localmente (Electrum, Bitcoin, Etherium, ecc.), Accessi FTP e password da FileZilla, credenziali e-mail, informazioni da browser installati localmente (compresi i cookie), credenziali per WinSCP, messenger Pidgin e altri.”

Questa non è la prima volta che vengono utilizzati siti VPN falsi per spingere il payload del malware. In precedenza un clone perfetto del sito Web ufficiale del servizio NordVPN veniva utilizzato per la consegna di un Trojan bancario, una VPN pirata Chick VPN falsa veniva utilizzata per la password AZORult che rubava Trojan e una VPN falsa veniva utilizzata anche per Vidar e cryptBot che rubava la password Trojan.